विषय पर बढ़ें

Hayabusa नियम

Hayabusa डिटेक्शन नियम sigma-जैसे YML प्रारूप में लिखे जाते हैं और rules फ़ोल्डर में स्थित होते हैं। ये नियम https://github.com/Yamato-Security/hayabusa-rules पर होस्ट किए गए हैं, इसलिए कृपया नियमों से संबंधित किसी भी समस्या और पुल रिक्वेस्ट को मुख्य Hayabusa रिपॉज़िटरी के बजाय वहाँ भेजें।

नियम प्रारूप और नियम कैसे बनाएँ, यह समझने के लिए इस अनुभाग में नियम फ़ाइलें बनाना, डिटेक्शन फ़ील्ड और Sigma सहसंबंध देखें। (स्रोत: hayabusa-rules रिपॉज़िटरी।)

hayabusa-rules रिपॉज़िटरी के सभी नियमों को rules फ़ोल्डर में रखा जाना चाहिए। informational स्तर के नियमों को events माना जाता है, जबकि low और उससे उच्चतर level वाली किसी भी चीज़ को alerts माना जाता है।

hayabusa नियम निर्देशिका संरचना 2 निर्देशिकाओं में विभाजित है:

  • builtin: ऐसे लॉग जो Windows की अंतर्निहित कार्यक्षमता द्वारा उत्पन्न किए जा सकते हैं।
  • sysmon: ऐसे लॉग जो sysmon द्वारा उत्पन्न किए जाते हैं।

नियमों को आगे लॉग प्रकार के अनुसार निर्देशिकाओं में विभाजित किया जाता है (उदाहरण: Security, System, आदि...) और निम्नलिखित प्रारूप में नामित किया जाता है:

कृपया नए नियम बनाने के लिए टेम्पलेट के रूप में या डिटेक्शन तर्क की जाँच के लिए वर्तमान नियमों को देखें।

Sigma बनाम Hayabusa (Built-in Sigma संगत) नियम

Hayabusa, logsource फ़ील्ड को आंतरिक रूप से संभालने के एकमात्र अपवाद के साथ Sigma नियमों का मूल रूप से समर्थन करता है। फ़ॉल्स पॉज़िटिव कम करने के लिए, Sigma नियमों को हमारे कन्वर्टर के माध्यम से चलाया जाना चाहिए जिसे यहाँ समझाया गया है। यह उचित Channel और EventID जोड़ेगा, और process_creation जैसी कुछ श्रेणियों के लिए फ़ील्ड मैपिंग करेगा।

लगभग सभी Hayabusa नियम Sigma प्रारूप के साथ संगत हैं इसलिए आप उन्हें Sigma नियमों की तरह ही अन्य SIEM प्रारूपों में बदलने के लिए उपयोग कर सकते हैं। Hayabusa नियम केवल Windows इवेंट लॉग विश्लेषण के लिए डिज़ाइन किए गए हैं और इनके निम्नलिखित लाभ हैं:

  1. लॉग में केवल उपयोगी फ़ील्ड से ली गई अतिरिक्त जानकारी प्रदर्शित करने के लिए एक अतिरिक्त details फ़ील्ड।
  2. इन सभी का नमूना लॉग के विरुद्ध परीक्षण किया गया है और ये काम करने के लिए जाने जाते हैं।
  3. sigma में न पाए जाने वाले अतिरिक्त एग्रीगेटर, जैसे |equalsfield और |endswithfield

हमारी जानकारी के अनुसार, hayabusa किसी भी ओपन सोर्स Windows इवेंट लॉग विश्लेषण टूल की तुलना में sigma नियमों के लिए सबसे बेहतरीन मूल समर्थन प्रदान करता है।