Aller au contenu

Nice-to-have — Fonctionnalités à venir

Fonctionnalités identifiées comme utiles mais hors périmètre actuel. Pas de planning — documentées pour référence.


1. Mode offline

État : non implémenté. L'app clone/pull toujours depuis GitHub au démarrage.

Ce qui manque : - Flag --offline pour utiliser le repo sigma/ existant sans fetch réseau - Bundle de règles SigmaHQ embarqué dans le binaire (via include_bytes! ou fichier shippe avec le release) - Pas de dépendance réseau du tout — le binaire fonctionne sur une machine isolée (air-gapped)

Cas d'usage : environnements classified/isolés, CI sans accès réseau, tests reproductibles.


2. Mode sans contrib

État : contrib est maintenant toujours actif — fork detection, branch, commit, push tournent à chaque run. L'option contrib a été supprimée de la config.

Ce qui manque : - Option --no-contrib ou config pour désactiver le workflow contrib (clone upstream local uniquement) - Le regression_tests_path est quand même ajouté aux fichiers YAML des règles — pourrait être optionnel

Cas d'usage : usage interne, audit de rules, génération de données sans intention de contribuer.


3. Support Linux

État : le collector est un stub (Vec vide) — la pipeline tourne end-to-end pour les tests, mais ne collecte rien.

Ce qui manque : - Collecteur d'événements Linux : journald (systemd), syslog, ou auditd - Mapping logsource Sigma → canaux Linux (les règles SigmaHQ ont des logsource.product: linux) - Le moteur Sigma évalue déjà les rules Linux, mais sans events它们 ne matchent jamais - Corrélation possible avec des outils comme osquery, auditd, ou falco

Cas d'usage : serveurs Linux, conteneurs, environnements cloud.


4. Support Correlation V2

État : le moteur rsigma-eval supporte les rules V2 (correlation), mais la pipeline ne les gère pas explicitement.

Ce qui manque : - Les rules de corrélation (correlation type dans Sigma V2) nécessitent de garder en mémoire plusieurs events avant de décider - La pipeline actuelle évalue chaque event individuellement — pas de buffer temporel - Il faudrait un stateful evaluator qui accumule les events par correlation_rule et déclenche quand les conditions sont réunies - Gestion des fenêtres temporelles (timespan) et des seuils (field count)

Cas d'usage : détection d'attaques multi-étapes, bruteforce, anomalies comportementales.