Skip to content

OCSF-Logrrr/sigma-elastalert-rules

BranchesTags

Folders and files

NameName
Last commit message
Last commit date

Latest commit

 

History

57 Commits
elastalert
elastalert
 
 
sigma
sigma
 
 
README.md
README.md
 
 

Repository files navigation

sigma-elastalert-Rules

이 리포지토리는 Elasticsearch에 저장된 OCSF 로그의 공격을 탐지하기 위한 Sigma Rules과 Elastalert Rules의 정보를 담고 있습니다.

해당 리포지토리의 Sigma Rules과 Elastalert Rules은 ELK 내부에 포함되어 동작합니다.

목차

아키텍처 구조

스크린샷 2025-06-25 오후 6 34 30
  1. Logstash에서 OCSF 포맷으로 변환된 로그를 가져오면 Elasticsearch에 저장되고 Kibana로 시각화합니다.
  2. 이 때 Elastalert는 Elasticsearch에 저장된 로그를 주기적으로 검사합니다. (ElastAlert는 Sigma Rules를 ElastAlert Rules 포맷으로 변환된 Rules을 사용)
  3. Rules에 따라 탐지된 공격은 Slack으로 전송됩니다.

디렉토리 구조

.
├── logstash/
│   └── pipeline/
│       └── logstash.conf
├── sigma/
│	└── rules/            #sigma rules 저장소
├── elastalert/
│	├── config.yml        #elastalert 설정 파일
│	└── rules/            #elastalert rules 저장소
├── docker-compose.yml
├── convert_sigma.sh          #sigma rules -> elastalert rules 변환 스크립트
└── .env

About

This repository stores Sigma rules and ElastAlert rules for logs that have been normalized to the OCSF format and stored in Elasticsearch.

Resources

Readme
Activity
Custom properties

Stars

0 stars

Watchers

0 watching

Forks

0 forks
Report repository

Releases

No releases published

Packages

 
 
 

Contributors