特定の2つのフィールドの値が一致していることを検知するルールを書きたい。

hach1yon commented 3 years ago

例えば、下記のようなEventLogで、param1とparam2の値が一致しているような場合を検知したい。 cobalt strikeの検知でこういうルールが必要になりそう。

- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
- <System>
  <Provider Name="Microsoft-Windows-DistributedCOM" Guid="{1B562E86-B7AA-4131-BADC-B6F3A001407E}" EventSourceName="DCOM" /> 
  <EventID Qualifiers="0">10016</EventID> 
  <Version>0</Version> 
  <Level>3</Level> 
  <Task>0</Task> 
  <Opcode>0</Opcode> 
  <Keywords>0x8080000000000000</Keywords> 
  <TimeCreated SystemTime="2021-05-13T10:57:54.3440147Z" /> 
  <EventRecordID>14802</EventRecordID> 
  <Correlation ActivityID="{63a6236e-b6d4-455b-94f0-03fb1f2e4ff7}" /> 
  <Execution ProcessID="1624" ThreadID="3452" /> 
  <Channel>System</Channel> 
  <Computer>DESKTOP-ICHIICHI</Computer> 
  <Security UserID="S-1-5-21-2673273881-979819022-3746999991-1001" /> 
  </System>
- <EventData>
  <Data Name="param1">ローカル</Data> 
  <Data Name="param2">ローカル</Data> 
  <Data Name="param3">アクティブ化</Data> 
  <Data Name="param4">{C2F03A33-21F5-47FA-B4BB-156362A2F239}</Data> 
  <Data Name="param5">{316CDED5-E4AE-4B15-9113-7055D84DCC97}</Data> 
  <Data Name="param6">DESKTOP-ICHIICH</Data> 
  <Data Name="param7">takai</Data> 
  <Data Name="param8">S-1-5-21-2673273881-979819022-3746999991-1001</Data> 
  <Data Name="param9">LocalHost (LRPC 使用)</Data> 
  <Data Name="param10">Microsoft.Windows.ShellExperienceHost_10.0.19041.964_neutral_neutral_cw5n1h2txyewy</Data> 
  <Data Name="param11">S-1-15-2-155514346-2573954481-755741238-1654018636-1233331829-3075935687-2861478708</Data> 
  </EventData>
  </Event>

hitenkoku commented 3 years ago

@ichiichi11 この機能って #117 で対応完了できていると思いますが、このissueはcloseしてしまってよいでしょうか？

hitenkoku commented 2 years ago

未実装なので一応確認する

hitenkoku commented 2 years ago

hayabusa-rulesで以下のように記載ができるようにしたい。|equalsfieldで変数同士の値をチェックするイメージ

selection:
     OrginalFileName|equalsfield: Image
condition: not selection

Yamato-Security / hayabusa

特定の2つのフィールドの値が一致していることを検知するルールを書きたい。 #103