search

Yamato-Security / hayabusa

Hayabusa (隼) is a sigma-based threat hunting and fast forensics timeline generator for Windows event logs.
GNU Affero General Public License v3.0
2.26k stars 200 forks source link

Mitre Attackの詳細なTactic番号を出力しない #477

Closed YamatoSecurity closed 2 years ago

YamatoSecurity commented 2 years ago

https://github.com/Yamato-Security/hayabusa/pull/469 のPRでアラートレベルとタイトルの間にMitre Attack Tacticが入るようになっています。それで良いのですが、attack technique IDが沢山あると、とても長くなって、ID番号をパッと見ても誰も分からないので、ID番号を無しにして、省略しながら以下のtacticだけを出力したいです:

attack.impact -> Impact
attack.initial_access -> Init. Access
attack.execution -> Exec.
attack.lateral_movement -> Lat. Movement
attack.persistence -> Persistence
attack.privilege_escalation -> Priv. Esc.
attack.reconnaissance -> Recon.
attack.collection -> Collection
attack.command_and_control -> C2
attack.credential_access -> Cred. Access
attack.defense_evasion -> Evasion
attack.discovery -> Discovery
attack.exfiltration -> Exfil.
attack.resource_development -> Resource Dev.

また、ルールのdetailsのところで、区切りを:から|に変えているので、区切りを合わせて頂けますか?

hitenkoku commented 2 years ago

@YamatoSecurity この処理ですが、別のコンフィグファイルを参照する形にしますか?それともハードコーディングで対応するようにしますか? attckにかぎらず他のタグの変換を想定するのであれば場合、コンフィグファイルを参照して取る形をおすすめします。

hitenkoku commented 2 years ago

483 で別途コンフィグファイルを利用してフィルタリングする方法で実装しました。

YamatoSecurity commented 2 years ago
Screen Shot 2022-04-14 at 16 05 54

@hitenkoku Countルールはタグのままになっていますが、countルールも設定ファイルに書いてあるMitre Attack Tacticだけにできますか?

hitenkoku commented 2 years ago

対応可能かと思われます。確認します

hitenkoku commented 2 years ago

以下の件、 #488 で対応しました。レビュアーを @YamatoSecurity にしていますのでご確認のほどよろしくお願いいたします。

Screen Shot 2022-04-14 at 16 05 54

Countルールはタグのままになっていますが、countルールも設定ファイルに書いてあるMitre Attack Tacticだけにできますか?