Skip to content

Hayabusa v.s. 変換されたSigmaルール

Jump to bottom
DustInDark edited this page Apr 21, 2022 · 2 revisions

Sigmaルールは、最初にHayabusaルール形式に変換する必要があります。変換のやり方はここで説明されています。 殆どのルールはSigmaルールと互換性があるので、Sigmaルールのようにその他のSIEM形式に変換できます。 Hayabusaルールは、Windowsのイベントログ解析専用に設計されており、以下のような利点があります:

  1. ログの有用なフィールドのみから抽出された追加情報を表示するための detailsフィールドを追加しています。
  2. Hayabusaルールはすべてサンプルログに対してテストされ、検知することが確認されています。

    変換処理のバグ、サポートされていない機能、実装の違い(正規表現など)により、一部のSigmaルールは意図したとおりに動作しない可能性があります。

  3. Sigmaルール仕様にない集計式(例:|equalsfield)の利用。

制限事項: 私たちの知る限り、Hayabusa はオープンソースの Windows イベントログ解析ツールの中でSigmaルールを最も多くサポートしていますが、まだサポートされていないルールもあります。

  1. Rust正規表現クレートでは機能しない正規表現を使用するルール。
  2. Sigmaルール仕様count以外の集計式。
  3. |nearを使用するルール。

Translated Hayabusa v.s. Converted Sigma Rules

Hayabusa

General

Preparation

Usage

Hayabusa Rules

Other


日本語版はこちら(Japanese Translation ver.)

Hayabusaについて

準備

使用方法

Hayabusaルール

その他

Clone this wiki locally