<html>

<head>

<meta http-equiv="Content-Type" content="text/html; charset=iso-8859-1">

<style type="text/css" style="display:none;"> P {margin-top:0;margin-bottom:0;} </style>

</head>

<body dir="ltr">

<div style="font-family: Aptos, Aptos_EmbeddedFont, Aptos_MSFontService, Calibri, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);" class="elementToProof">

Hi,</div>

<div style="font-family: Aptos, Aptos_EmbeddedFont, Aptos_MSFontService, Calibri, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);" class="elementToProof">

<br>

</div>

<div style="font-family: Aptos, Aptos_EmbeddedFont, Aptos_MSFontService, Calibri, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);" class="elementToProof ContentPasted0 ContentPasted1">

Recently I was asked if Sigma rules (<a href="https://github.com/SigmaHQ/sigma">https://github.com/SigmaHQ/sigma</a>) are supported by syslog-ng. Syslog-ng has message parsing, filtering, and can be used for alerting. But I'm not aware of any tools that could

 turn Sigma rules into PatternDB and syslog-ng.conf

<div class="ContentPasted0"><br>

</div>

<div class="ContentPasted0">Syslog-ng can send logs to Splunk, ElasticSearch / OpenSearch or Graylog, all which already have sigma rules integrations. Of course, many users use/abuse syslog-ng as a kind of SIEM-lite as it is very good at real-time alerting.

 However, as far as I can see, Sigma rules are better suited for threat hunting on the SIEM side.<br>

</div>

<div><br class="ContentPasted0">

</div>

If you already Sigma rules with syslog-ng or any other way: please share your experiences!<br>

</div>

<div class="elementToProof">

<div style="font-family: Aptos, Aptos_EmbeddedFont, Aptos_MSFontService, Calibri, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

<br>

</div>

<div style="font-family: Aptos, Aptos_EmbeddedFont, Aptos_MSFontService, Calibri, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

Thanks,</div>

<div style="font-family: Aptos, Aptos_EmbeddedFont, Aptos_MSFontService, Calibri, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

Peter<br>

</div>

<div style="font-family: Aptos, Aptos_EmbeddedFont, Aptos_MSFontService, Calibri, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

<br>

</div>

<div id="Signature">

<div>

<div style="font-family: Calibri, Arial, Helvetica, sans-serif; font-size: 12pt; color: rgb(0, 0, 0);">

<div>

<div>

<div dir="ltr">Peter Czanik (CzP) <peter.czanik@oneidentity.com><br>

Balabit (a OneIdentity company) / syslog-ng upstream<br>

<a href="https://syslog-ng.com/community/" target="_blank" id="OWA5634e923-ab2a-796e-0029-886225a36604" class="OWAAutoLink">https://syslog-ng.com/<wbr>community/</a><br>

<a href="https://twitter.com/PCzanik" target="_blank" id="OWA42a5f3be-6761-fe73-62a9-c7d9e29d1604" class="OWAAutoLink">https://twitter.com/PCzanik</a></div>

</div>

</div>

<br>

</div>

</div>

</div>

</div>

</body>

</html>