省略

結果をミニマルにするため、レベル、MITRE ATT&CK戦術、チャンネル、プロバイダ、フィールド名などを省略しています。

b, --disable-abbreviationsオプションで、これらの省略のいくつかを無効にして、元々のチャンネル名、プロバイダ名などを表示することができます。

Levelの省略

簡潔に出力するためにlevelを以下のように省略し出力しています。

• emer: emergency
• crit: critical
• high: high
• med: medium
• low: low
• info: informational
• undef: undefined

MITRE ATT&CK戦術の省略

簡潔に出力するためにMITRE ATT&CKの戦術を以下のように省略しています。 ./config/mitre_tactics.txtの設定ファイルで自由に編集できます。

• Recon : Reconnaissance (偵察)
• ResDev : Resource Development (リソース開発)
• InitAccess : Initial Access (初期アクセス)
• Exec : Execution (実行)
• Persis : Persistence (永続化)
• PrivEsc : Privilege Escalation (権限昇格)
• Stealth : Stealth (ステルス、旧Defense Evasion)
• DefImpair : Defense Impairment (防御機能妨害)
• CredAccess : Credential Access (認証情報アクセス)
• Disc : Discovery (探索)
• LatMov : Lateral Movement (横展開)
• Collect : Collection (収集)
• C2 : Command and Control (遠隔操作)
• Exfil : Exfiltration (持ち出し)
• Impact : Impact (影響)

Channel情報の省略

簡潔に出力するためにChannelの表示を以下のように省略しています。 ./rules/config/channel_abbreviations.txtの設定ファイルで自由に編集できます。

• App : Application
• AppLocker : Microsoft-Windows-AppLocker/*
• BitsCli : Microsoft-Windows-Bits-Client/Operational
• CodeInteg : Microsoft-Windows-CodeIntegrity/Operational
• Defender : Microsoft-Windows-Windows Defender/Operational
• DHCP-Svr : Microsoft-Windows-DHCP-Server/Operational
• DNS-Svr : DNS Server
• DvrFmwk : Microsoft-Windows-DriverFrameworks-UserMode/Operational
• Exchange : MSExchange Management
• Firewall : Microsoft-Windows-Windows Firewall With Advanced Security/Firewall
• KeyMgtSvc : Key Management Service
• LDAP-Cli : Microsoft-Windows-LDAP-Client/Debug
• NTLM Microsoft-Windows-NTLM/Operational
• OpenSSH : OpenSSH/Operational
• PrintAdm : Microsoft-Windows-PrintService/Admin
• PrintOp : Microsoft-Windows-PrintService/Operational
• PwSh : Microsoft-Windows-PowerShell/Operational
• PwShClassic : Windows PowerShell
• RDP-Client : Microsoft-Windows-TerminalServices-RDPClient/Operational
• Sec : Security
• SecMitig : Microsoft-Windows-Security-Mitigations/*
• SmbCliSec : Microsoft-Windows-SmbClient/Security
• SvcBusCli : Microsoft-ServiceBus-Client
• Sys : System
• Sysmon : Microsoft-Windows-Sysmon/Operational
• TaskSch : Microsoft-Windows-TaskScheduler/Operational
• WinRM : Microsoft-Windows-WinRM/Operational
• WMI : Microsoft-Windows-WMI-Activity/Operational

その他の省略

できるだけ簡潔にするために、以下の略語を使用しています:

• Acct -> Account
• Addr -> Address
• Auth -> Authentication
• Cli -> Client
• Chan -> Channel
• Cmd -> Command
• Cnt -> Count
• Comp -> Computer
• Conn -> Connection/Connected
• Creds -> Credentials
• Crit -> Critical
• Disconn -> Disconnection/Disconnected
• Dir -> Directory
• Drv -> Driver
• Dst -> Destination
• EID -> Event ID
• Err -> Error
• Exec -> Execution
• FW -> Firewall
• Grp -> Group
• Img -> Image
• Inj -> Injection
• Krb -> Kerberos
• LID -> Logon ID
• Med -> Medium
• Net -> Network
• Obj -> Object
• Op -> Operational/Operation
• Proto -> Protocol
• PW -> Password
• Reconn -> Reconnection
• Req -> Request
• Rsp -> Response
• Sess -> Session
• Sig -> Signature
• Susp -> Suspicious
• Src -> Source
• Svc -> Service
• Svr -> Server
• Temp -> Temporary
• Term -> Termination/Terminated
• Tkt -> Ticket
• Tgt -> Target
• Unkwn -> Unknown
• Usr -> User
• Perm -> Permament
• Pkg -> Package
• Priv -> Privilege
• Proc -> Process
• PID -> Process ID
• PGUID -> Process GUID (Global Unique ID)
• Ver -> Version