search

Yamato-Security / hayabusa

Hayabusa (隼) is a sigma-based threat hunting and fast forensics timeline generator for Windows event logs.
GNU Affero General Public License v3.0
2.26k stars 200 forks source link

[bug] custom config directory doesn't load target_event_IDs.txt #681

Closed YamatoSecurity closed 2 years ago

YamatoSecurity commented 2 years ago

Describe the bug ./hayabusa-1.6.0-dev -d ../hayabusa-sample-evtx -r ../hayabusa-rules -c ../hayabusa-rules/config -o test.csvのようにhayabusa-rules/configのtarget_event_IDs.txtを編集して、検証していましたが、./rules/config/target_event_IDs.txtが読み込まれていました。

-c <存在しないdir>を実行してみたら、[ERROR] Cannot open file. [file:../hayabusa-sample-evtx/eventkey_alias.txt]のエラーが出るので、そのファイルを正しく読み込もうとしていますが、target_event_IDs.txt(もしかして他の設定ファイルも)カスタムで設定できないようです。

Step to Reproduce 別のディレクトリのhayabusa-rules/config/target_event_IDs.txtを編集して、1だけの1行を保存する。 ./hayabusa-1.6.0-dev -d ../hayabusa-sample-evtx -r ../hayabusa-rules -c ../hayabusa-rules/config -o test.csvを実行して、EID 1のイベントだけ出力されるかどうかチェックする。

Expected behavior -cで指定される設定ファイルが全部ロードされるはずです。

Environment (please complete the following information):

hitenkoku commented 2 years ago

一旦確認します

hitenkoku commented 2 years ago

確認しましたが、rulesの各種ファイルはlazy_staticで静的変数として扱っていますがそれで実行をしてしまうと、testの際にconfigオプションの参照ができずにテストができなくなるという事象を確認しました。対策を検討中です。

YamatoSecurity commented 2 years ago

確認ありがとうございます! なるほど、ま、これは優先度低なので、時間がかかりそうでしたら、1.6.1等次のリリースでも良いと思います。 すごくややこしいんだったら、このファイルだけ対象外にしても良いかもしれません。

hitenkoku commented 2 years ago

対応完了しました。私のプログラミング方法がまずかったので修正をしたところ無事直りました。この後pull requestを出しておきます。

hitenkoku commented 2 years ago

@YamatoSecurity #682 で修正をさせていただきました。お手数をおかけしてしまい申し訳ございませんがご確認のほどよろしくお願いいたします。