Unaddicted-swisspine980/SigmaForge

# 🛡️ SigmaForge - 更快构建 Sigma 规则 [](https://github.com/Unaddicted-swisspine980/SigmaForge/releases) ## 🚀 SigmaForge 的作用 SigmaForge 帮助你通过简单表单创建 Sigma 规则。它还能为常见的 SIEM 格式生成输出，例如 Splunk SPL、Elastic KQL、Elastic EQL 和 Sentinel KQL。 当你想要将一个检测想法转化为规则，而又不想手动编写所有内容时，可以使用它。它专为从事检测内容工作、希望为不同平台准备清晰规则的人员设计。 ## 📦 下载 SigmaForge 请访问发布页面以下载并运行此应用程序（适用于 Windows）： https://github.com/Unaddicted-swisspine980/SigmaForge/releases 在列表中找到最新的发布文件，下载 Windows 版本，然后在电脑上打开该文件。 ## 🖥️ 系统要求 SigmaForge 可在 Windows 桌面或笔记本电脑上运行。 你需要： - Windows 10 或 Windows 11 - 至少 4 GB 内存 - 200 MB 可用磁盘空间 - 鼠标和键盘 - 网络连接以下载发布文件 为获得最佳使用体验，请将屏幕保持在普通桌面大小，以便表单易于阅读。 ## 🧭 开始前准备 在打开 SigmaForge 之前，请确保你已完成以下操作： - 从上述链接下载最新版本 - 将文件保存到可以再次找到的文件夹中 - 如果应用程序已打开，请关闭旧版本 如果 Windows 显示安全提示，请选择允许打开该文件的选项。 ## 🛠️ 安装与运行步骤 请按照以下步骤在 Windows 上操作： 1. 打开此链接：https://github.com/Unaddicted-swisspine980/SigmaForge/releases 2. 在页面顶部找到最新的发布版本 3. 打开适用于 Windows 的发布资源 4. 将文件保存到“下载”文件夹或桌面 5. 如果文件是 ZIP 格式，右键点击并选择“全部提取” 6. 打开提取的文件夹 7. 双击 SigmaForge 应用程序文件 8. 等待应用程序窗口出现 如果应用程序在浏览器中打开，请保持该标签页打开并将其作为本地工具使用。如果它以桌面窗口形式打开，且你经常使用它，请将其固定到任务栏。 ## 🧩 如何使用 SigmaForge SigmaForge 的工作流程很简单： 1. 输入规则详情 2. 选择要监视的字段 3. 设置匹配逻辑 4. 选择目标格式 5. 生成输出 6. 将规则复制到你的 SIEM 或保存以备后用 该应用程序旨在让规则构建更轻松。你可以从一个想法开始，然后将其塑造成适合你平台的格式。 ## 🔎 可能看到的常见输入 SigmaForge 可能会要求提供以下信息： - 规则名称 - 规则描述 - 日志来源 - 事件字段 - 搜索词 - 匹配条件 - 严重性级别 - 误报说明 填写表单时使用自然语言。例如，写下警报应捕获的内容以及最重要的日志事件数据。 ## 🧪 输出格式 SigmaForge 支持多种规则和查询格式。 ### Splunk SPL 如果你的团队使用 Splunk，请使用此格式。输出可帮助你在 Splunk 数据中搜索匹配事件。 ### Elastic KQL 用于依赖 KQL 的 Elastic 规则，适用于清晰的字段匹配和简单搜索。 ### Elastic EQL 当你需要在 Elastic 中使用基于序列的检测逻辑时使用它。它适合事件模式和有序行为。 ### Sentinel KQL 用于 Microsoft Sentinel。输出将你的规则想法映射为 Sentinel 调查和分析所需的 KQL。 ## 📝 典型工作流程 一个简单的工作流程如下： 1. 思考你想要检测的活动 2. 添加看到该活动的日志来源 3. 添加日志中的字段名称 4. 选择术语、操作符和筛选条件 5. 生成规则 6. 审查输出 7. 将规则复制到你的 SIEM 8. 使用已知数据进行测试 如果规则感觉过于宽泛，请缩小搜索词。如果遗漏了事件，请首先检查字段名称和日志来源。 ## 🧠 提高结果的技巧 在构建规则时使用以下技巧： - 保持规则专注于一种行为 - 使用真实日志中的字段名称 - 添加已知良好的筛选条件以减少噪声 - 在依赖规则之前使用旧数据进行测试 - 保存每个版本以便比较更改 - 为规则命名，使其对团队有意义 简短清晰的规则更容易调整，也有助于加快评审工作。 ## 🔧 如果应用程序无法打开 如果 SigmaForge 无法启动： - 检查下载是否完整 - 确保已解压 ZIP 文件（如果提供了） - 尝试从提取的文件夹中再次运行应用程序 - 如果 Windows 阻止运行，右键点击文件并选择“以管理员身份运行” - 如果文件损坏，请重新下载发布版本 如果窗口快速打开并关闭，请再次从文件夹中运行它，以便看到任何提示信息。 ## 📁 建议的文件夹结构 你可以将应用程序保存在如下简单的文件夹结构中： - Downloads - SigmaForge - Releases - Rules 这样可以更方便地将应用程序、生成的规则和测试文件集中管理。 ## 👥 适用人群 SigmaForge 对以下人员有用： - 检测工程师 - SOC 分析员 - 威胁猎人 - 安全团队 - 任何编写 Sigma 规则的人 - 需要为 Splunk、Elastic 或 Sentinel 输出结果的人 当你希望有一个地方为多个平台塑造规则时，它能很好地工作。 ## 🔐 安全使用 使用 SigmaForge 来帮助构建用于你自己环境或授权工作的检测逻辑。在将其投入生产之前，请审查每个生成的规则。检查字段名称、搜索词和匹配逻辑是否与你的日志数据一致。 ## 📌 项目主题 该项目与以下内容相关： - 网络安全 - 检测工程 - Elastic - Flask - Python - 安全工具 - Sentinel - SIEM - Sigma - Splunk ## 🧾 获取帮助 如果需要帮助，请查看发布页面以获取最新的构建说明和文件名。如果应用程序与你的屏幕或 Windows 版本不匹配，请重新下载最新的发布版本并重试上述步骤。 ## ⭐ 你可以期待什么 SigmaForge 为你提供了一条清晰的路径，从一个想法到一个可用的检测规则。它让流程保持简单，让你可以花更少的时间在格式工作上，更多的时间专注于规则本身

标签：CLI, DevSecOps, Elastic EQL, Elastic KQL, Flask, JSON, Sentinel KQL, SEO, SigmaForge, Sigma规则, Splunk SPL, TCP SYN 扫描, URL发现, Web UI, WiFi技术, 上游代理, 关键词优化, 命令行界面, 威胁情报, 安全检测, 开发者工具, 开源安全工具, 文档结构分析, 检测内容, 检测即代码, 生成规则, 目标导入, 网络安全, 规则转换, 规则转换工具, 逆向工具, 逆向工程平台, 隐私保护, 验证规则