[Sigma Rule] 제11화: ArcSight 환경에서 Sigma 활용하기

이번 글에서는 ArcSight ESM 및 Command Center 환경에서 Sigma를 어떻게 활용하는지 최신 관점으로 정리해드리겠습니다. 

SigmaHQ 문서와 커뮤니티 자료에 따르면, legacy-sigmatools는 deprecated 상태이며, 이제 pySigma와 sigma-cli를 사용해야 호환성 문제를 피할 수 있습니다. 

ArcSight의 경우 SOC Prime의 Sigma Rules Integration Pack과 Command Center Saved Search를 통해 Sigma를 ESM 필터와 Active Channel에 연동하는 방식이 표준입니다.

 

◎ ArcSight에서 Sigma의 현재 위치

• ArcSight는 ESM, Command Center, Logger로 구성되며, Sigma는 Command Center를 통해 Saved Search로 변환한 뒤 ESM으로 연동하는 구조가 주류입니다. 
• SOC Prime 가이드에 따르면, Sigma 규칙을 TDM(Threat Detection Marketplace)에서 변환해 CSV 결과를 FlexConnector로 ESM에 전송하는 패키지를 제공합니다.

 

• legacy-sigmatools는 sigmac -t arcsight로 ESM 필터를 생성했지만, 이제 pySigma 기반 sigma-cli로 전환해야 하며, ArcSight 백엔드 지원은 커뮤니티나 SOC Prime를 통해 이뤄집니다.
• pySigma는 새로운 백엔드 개발을 쉽게 하도록 Cookie Cutter 템플릿을 제공하므로, ArcSight 전용 백엔드를 만드는 것도 가능합니다.

 

◎ pySigma/sigma-cli로 ArcSight 변환

• 설치

pip install sigma-cli sigma plugin list  # ArcSight 백엔드 확인 (커뮤니티 제공 시)

 

• 기본 변환 (ArcSight 지원 백엔드 가정):

sigma convert --target arcsight suspicious_powershell.yml --pipeline arcsight-esm

 

• legacy 전환 사용자 (임시):

git clone https://github.com/SigmaHQ/legacy-sigmatools.git cd legacy-sigmatools/tools ./sigmac -t arcsight-esm rule.yml

• 출력 ESM 필터:

(filter[EventId = 4688] AND (ProcessName ENDSWITH "powershell.exe") AND (ParentProcessName ENDSWITH "cmd.exe"))

• pySigma로 동일 결과 생성 권장.

 

◎ SOC Prime Integration Pack 활용 (운영 최적)

 - 무료 패키지 다운로드

• TDM 변환: Sigma → ArcSight Saved Search.
• FlexConnector: CSV 결과 → ESM 이벤트.
• ESM 패키지: Active Channel, Dashboard, Filter 임포트.

 

 - 워크플로

Sigma YAML → TDM 변환 → Command Center Saved Search → CSV 출력 ↓ FlexConnector → ESM Active List/Channel 업데이트

• MITRE ATT&CK 태그 연동 지원.

 

◎ 실전 예제: PowerShell 탐지

title: PowerShell Spawned by CMD id: arcsight-powershell-001 logsource:   category: process_creation   product: windows detection:   selection:     Image|endswith: '\powershell.exe'     ParentImage|endswith: '\cmd.exe'   condition: selection level: high tags:   - attack.execution S

 

• sigma-cli 변환 (pySigma)

sigma convert --target arcsight-esm rule.yml

 

• ESM 필터:

(filter[EventId = 4688] AND ProcessName ENDSWITH "powershell.exe" AND ParentProcessName ENDSWITH "cmd.exe")

 

Command Center Saved Search:

Search: (EventId = 4688) AND ProcessName ENDSWITH "powershell.exe" Output: CSV to FlexConnector Schedule: 5m Active List: "Suspicious PowerShell" 업데이트 [web:91]

 

◎ ESM 상관분석 연계

• Active List 활용

Saved Search → Active List "Suspicious IPs" 추가 ESM 룰: Active List hit → Active Channel

 

 - 다중 Sigma 체인

• FW deny (Sigma 1) → Active List.
• WAF anomaly (Sigma 2) → Active List 체크.
• 상관 룰 트리거.

 

 

◎ pySigma 전환 가이드 (legacy 사용자)

 - legacy → pySigma

• pip install sigma-cli.
• sigma plugin install로 백엔드 확인.
• ArcSight 백엔드 미지원 시 커스텀 백엔드 개발 (Cookie Cutter).
• SOC Prime Pack 우선 사용.

 

 - 호환성

legacy-sigmatools는 deprecated, pySigma로 migration 권장 [web:97]

 

◎ 실전 워크플로

• SigmaHQ 규칙 클론.
• sigma-cli 변환 또는 TDM 사용.
• Command Center 임포트 → Saved Search 생성.
• FlexConnector 설정 → ESM 연동.
• Active Channel/Dashboard 모니터링.

 

 - 자동화

#!/bin/bash sigma convert rules/*.yml --target arcsight-esm > esm_filters/ scp esm_filters/ arcsight-cc:/tmp/ # CC API 또는 스크립트로 Saved Search 업데이트

 

◎ ArcSight vs 다른 SIEM

항목	ArcSight	Splunk	QRadar
백엔드	SOC Prime + legacy	pySigma splunk	IBM AQL
출력	ESM 필터/Saved Search	SPL/savedsearches	AQL
상관	Active List	Correlation Search	AQL JOIN
자동화	FlexConnector	API	API

 

◎ 팁과 주의사항

 - 추천

• SOC Prime Pack 무료 사용.
• pySigma migration.
• Active List + Channel 조합.

 

 - 피하기

• legacy-sigmatools 단독.
• 변환 후 검증 생략.
• 성능: Saved Search 5m 스케줄, CSV 최적화.

 

◎ 마무리

• ArcSight에서 Sigma는 Command Center + FlexConnector를 통해 ESM과 완벽 연동됩니다. 
• pySigma/sigma-cli로 legacy 탈피하고 SOC Prime Pack을 활용하시면 현대적 운영 가능합니다.