SIGMAルールのGithubActionsでの自動ルール変換の再作成

[hitenkoku]

54 後、GithubActionsの利用を停止していたが、SIGMA ルールのconvertが安定化したため再度Github Actionsのルールを作成する。

当時のワークフローからコードの構成が変わっているので作り直しをお願い致します。

[hitenkoku]

本機能早めに作成したいという話になったので @hach1yon さんにご対応いただく形を取りました。 @itiB さんはレビュアーやサポートの形でご対応いただけますと助かります。

[itiB]

@hitenkoku わかりました！全然手がつけられてなくて申し訳ありません🙏レビューします

[YamatoSecurity]

やりたいのは以下の通りです:

1. git clone https://github.com/SigmaHQ/sigma.git などで一時ディレクトリに最新のsigmaルールをダウンロードする。
2. hayabusaバックエンドが入っていないので、hayabusa.pyをコピーする。

   export sigma_path=/path/to/sigma_repository
   cp hayabusa.py $sigma_path/tools/sigma/backends
   cp convert.py $sigma_path

3. --suppressionオプションで変換する。

   cd $sigma_path
   python3 convert.py --suppression

4. hayabusa-rulesレポジトリのsigmaディレクトリ配下のルールを削除して、新しく変換されたhayabusa_rules配下のルールをコピーする。

[hach1yon]

@YamatoSecurity pushしようとしたら、HTTP403エラーでましたが、pushする権限自分に割り当たってますか?

[hach1yon]

@itiB convert.pyの実行に凄く時間がかかるようになっているのですが、これって何か知ってますか?テストするのがちょっと大変で

[itiB]

@hach1yon すべてのルールファイルの中を見て変換に使うバックエンドを決めているからすごく時間かかるようになっています。 変換するルールをまとめたディレクトリを作成し、-r ./rule-dir オプションで変換対象を絞ると速くなります

[hach1yon]

なるほど分かりました。改善できそうならやってみます。

[YamatoSecurity]

@YamatoSecurity pushしようとしたら、HTTP403エラーでましたが、pushする権限自分に割り当たってますか?

すみません！権限設定を変えました。ご確認ください。