Closed hitenkoku closed 2 years ago
検知数が減ったのは #291で追加された noisy-rules.txtに追加された4つ、exclude-rules.txtに追加された1つのファイルが原因かと思われる。 念のため --show-duplicateオプションをつけて実行してみます。
show-deprecatedオプションをつけてみたが検知数は変わらなかった。noisy-rules.txtの4つを削除して再度取得する
PS >.\hayabusa.exe -d .\sample-evtx\ --csv-timeline 296result.csv --show-deprecated
Analyzing event files: 503 SIGMA rules: 1086 hayabusa rules: 39 Ignored rules: 15 Rule parsing errors: 0 Total detection rules: 1140
Total events: 6104 Critical alerts: 31 High alerts: 131 Medium alerts: 75 Low alerts: 29 Informational alerts: 16 Undefined alerts: 0 Unique alerts detected: 282 Elapsed Time: 00:00:36.945
エラー文面内容から D:\gitprojects\hayabusa\rules\hayabusa\alerts\System\7045_CreateOrModiftySystemProcess-WindowsService_MaliciousServiceInstalled.yml でのallowlistの個所でのファイル名置き換えを一斉置き換えで私が対応した際に不十分であったことがわかりました。
大変失礼いたしました。修正いたします。