Перейти до змісту

Правила Hayabusa

Правила виявлення Hayabusa записуються у форматі YML, подібному до sigma, і розташовані в теці rules. Правила розміщені за адресою https://github.com/Yamato-Security/hayabusa-rules, тому, будь ласка, надсилайте будь-які проблеми та pull-запити щодо правил саме туди, а не до основного репозиторію Hayabusa.

Перегляньте Створення файлів правил, Поля виявлення та Кореляції Sigma у цьому розділі, щоб зрозуміти формат правил і те, як їх створювати. (Джерело: репозиторій hayabusa-rules.)

Усі правила з репозиторію hayabusa-rules мають бути розміщені в теці rules. Правила рівня informational вважаються events, тоді як усе, що має level low і вище, вважається alerts.

Структура каталогу правил hayabusa поділена на 2 каталоги:

  • builtin: журнали, які можуть генеруватися вбудованою функціональністю Windows.
  • sysmon: журнали, які генеруються sysmon.

Правила додатково поділені на каталоги за типом журналу (наприклад: Security, System тощо) і названі в такому форматі:

Будь ласка, перегляньте поточні правила, щоб використовувати їх як шаблон для створення нових або для перевірки логіки виявлення.

Правила Sigma проти Hayabusa (сумісні з вбудованим Sigma)

Hayabusa підтримує правила Sigma нативно з єдиним винятком — внутрішньою обробкою полів logsource. Щоб зменшити кількість хибних спрацювань, правила Sigma слід пропускати через наш конвертер, описаний тут. Це додасть належні Channel та EventID, а також виконає зіставлення полів для певних категорій, як-от process_creation.

Майже всі правила Hayabusa сумісні з форматом Sigma, тому ви можете використовувати їх так само, як і правила Sigma, для конвертації в інші формати SIEM. Правила Hayabusa призначені виключно для аналізу журналів подій Windows і мають такі переваги:

  1. Додаткове поле details для відображення додаткової інформації, узятої лише з корисних полів журналу.
  2. Усі вони протестовані на зразках журналів і, як відомо, працюють.
  3. Додаткові агрегатори, яких немає в sigma, як-от |equalsfield та |endswithfield.

Наскільки нам відомо, hayabusa забезпечує найкращу нативну підтримку правил sigma серед усіх інструментів аналізу журналів подій Windows з відкритим кодом.