E-C.O.P (Thailand) · Free Tools
Sigma Rule Translator · Learn · Try · Apply
← District
📜 Sigma Rule Translator · ECOP Free Tool

Sigma YAML → KQL · SPL · EQL · เข้าใจตั้งแต่แรก ใช้ได้จริงใน SIEM

เครื่องมือสำหรับ Junior SOC analyst ที่เจอ Sigma rule ใน GitHub/Twitter/บทความแล้วงงว่าจะเอาไปใช้ที่ไหน · 3 tabs: Learn (Sigma 101) · Try (paste→convert) · Apply (วางใน Sentinel/Splunk/Elastic)

P2 · SOC PRACTITIONER น้อง SOC / IT support 1-3 ปี · เจอใน job แล้วต้องส่งงานทันที · "ใช้ได้, copy แล้ววางต่อเลย"
100% CLIENT-SIDE · Sigma rule ของคุณไม่ออกจาก browser

📚 Sigma Academy

7 บทเรียนสำหรับ SOC analyst ที่อยากเข้าใจ Sigma ตั้งแต่ 0 · มีตัวอย่าง YAML จริงและแบบฝึกหัด · ใช้เวลารวม ~70 นาที · ทำเสร็จแล้วใช้ Try tab แปลง rule + Apply tab วางใน SIEM

0/7 บทเรียน
Score
0
🎯
Perfect
0/7
🏆
Achievements
0/6
🌱 Beginner
🎓

Sigma Academy

Certificate of Completion

🌱 BEGINNER
0 / 700
บทเรียน 0/7 · เสร็จเมื่อ —

คุณเรียน Sigma Academy จบแล้ว · พร้อมใช้ Sigma rule ใน SIEM ของบริษัท

🏆 Achievements ที่ปลดล็อก

⚠️ Disclaimer เนื้อหาในบทเรียนเป็นความรู้ทั่วไปเกี่ยวกับ Sigma + SIEM detection · เป็น educational reference · official Sigma docs อยู่ที่ github.com/SigmaHQ/sigma

📝 Sigma Rule (YAML)

📚 SAMPLES:

⚡ Translated Query

// paste Sigma rule แล้วกด Convert
⚠️ Disclaimer Translation นี้ใช้ rule-based · cover ~80% ของ Sigma syntax · complex rules (correlation · timeframe · aggregation) อาจต้องปรับมือ · ใช้ผลเป็น starting point · test ใน stage SIEM ก่อน production · official tool คือ pySigma (CLI · Python)
🚀 APPLY · วาง query ที่แปลงเสร็จแล้ว ใน SIEM ของคุณ ทำตาม step ด้านล่างของ SIEM ที่บริษัทคุณใช้ · ทุก SIEM มี 2 mode: Hunt mode (ลองยิง 1 ครั้ง) และ Detection mode (ตั้งให้รัน auto + alert)

🔷 Microsoft Sentinel / Defender

KQL · Kusto Query Language
HUNT MODE · ลองยิง 1 ครั้ง
1เปิด Microsoft SentinelHunting+ New Query
2Paste KQL ลงในช่อง Query · กด Run Query
3ปรับ time range เป็น Last 24 hours ก่อน · ดูว่ามี hit ไหม
DETECTION MODE · ตั้ง auto-alert
4SentinelAnalytics+ CreateScheduled query rule
5Paste KQL · ตั้ง Run every 5 minutes + Lookup last 1 hour
6ตั้ง Severity = High + Alert grouping + Incident creation: Yes

🔶 Splunk Enterprise / Cloud

SPL · Search Processing Language
HUNT MODE · ลองยิง 1 ครั้ง
1เปิด Search & Reporting app
2Paste SPL · ปรับ index= และ sourcetype= ให้ตรงกับของคุณ
3ตั้ง time range Last 24 hours · กด Search
DETECTION MODE · ตั้ง auto-alert
4หลังกด Search · กด Save AsAlert
5ตั้ง Schedule: Every 5 minutes + Trigger when results > 0
6เพิ่ม Action: Send to ITSM หรือ Email · กรอกข้อความ alert

🔴 Elastic Security / Kibana

EQL หรือ KQL/Lucene
HUNT MODE · ลองยิง 1 ครั้ง
1เปิด KibanaDiscover
2เลือก data view winlogbeat-* หรือ logs-*
3Paste KQL/Lucene query ลงใน search bar · กด Refresh
DETECTION MODE · ตั้ง auto-alert
4Security app → Rules+ Create new rule
5เลือก rule type EQL (ถ้าใช้ EQL) หรือ Custom Query (KQL)
6Paste query · ตั้ง Schedule: 5m + Lookback: 30m + Severity: High

💡 SOC Tips · ก่อน deploy production

🧪

Test ใน 24-hour window ก่อน

ยิง query ใน lookback 24 ชม. ก่อน — ถ้า hit > 100 ครั้ง = น่าจะมี false positive · ต้อง tune ก่อน production

🎯

Tune false positive ด้วย "filter_legit"

ถ้าเจอ noise · เพิ่ม filter_legit ใน Sigma แล้ว condition: selection and not filter_legit

🗺️

Map กับ MITRE ATT&CK

ใช้ tag attack.t1059.001 ใน Sigma เพื่อ track coverage · ดูที่ attack.mitre.org

📊

Adjust table/index ก่อน paste

Tool generate ให้ default = DeviceProcessEvents (Sentinel) · index=windows (Splunk) · ปรับให้ตรง env ของคุณ

🔄

Version control rules

Save Sigma YAML ใน Git repo + alert metadata · แชร์กับทีม · review เป็น PR · audit trail

📚

Source ของ Sigma rules

SigmaHQ (3,000+ official) · detection.fyi · Uncoder.IO