一部ルールの読み込みができない

Yamato-Security / hayabusa

Hayabusa (隼) is a sigma-based threat hunting and fast forensics timeline generator for Windows event logs.

GNU Affero General Public License v3.0

2.31k stars 203 forks source link

一部ルールの読み込みができない #530

Closed hitenkoku closed 2 years ago

hitenkoku commented 2 years ago

Describe the issue WIndows環境で一部ルールがアンチウィルスに検出され、動作することができない

Step to Reproduce Steps to reproduce the behavior:

execute hayabusa.exe -d ./hayabusa-sample-evtx/
outputed Errors were generated. Please check ./logs/errorlog-....log for details.
See errorlog

Expected behavior ドキュメントでそのようなエラー文が出たらアンチウィルスの除外に加えるようにドキュメントに記載したほうがよい

Environment (please complete the following information):

OS: Windows10
hayabusa version v1.2.2

hitenkoku commented 2 years ago

@YamatoSecurity 実行したところ以下のエラー文が出力されることを確認しました。ドキュメントで対策方法を記載するかどうかの判断をして頂けますと助かります。個人的には、緊急ではないとは思っており、この手のエラーでどうするかまで書き始めるとキリがないと思っているので、書かなくてもいいかなと思っています。

[WARN] fail to read file: rules\sigma\process_creation_builtin\proc_creation_win_apt_revil_kaseya.yml

YamatoSecurity commented 2 years ago

ドキュメンテーションでルールも誤検知を起こすこともあるのも書いた方が良さそうですね。 https://github.com/Yamato-Security/hayabusa/pull/532 で追加してみました。和訳をお願いできますか？

hitenkoku commented 2 years ago

ありがとうございます。和訳の対応も完了しました。ついでにではありますがrulesの最新版への更新対応もそのpull requestの中に追加しておきました。