TTPコマンド¶
ttp-summaryコマンド¶
このコマンドは、Sigmaルールの「tags」フィールドで定義された MITRE ATT&CK TTP に従って、各コンピュータで見つかった戦術とテクニックの要約を出力します。
- 入力: JSONL
- プロファイル:
%MitreTactics%と%MitreTags%フィールドを出力するプロファイル (例:verbose,all-field-info-verbose,super-verbose) - 出力: ターミナル または CSV
必須オプション:
-t, --timeline <JSONL-FILE-OR-DIR>: HayabusaのJSONLタイムラインまたはディレクトリ
任意オプション:
-o, --output <CSV-FILE>: 結果を保存するCSVファイル-q, --quiet: ロゴを出力しない (デフォルト:false)
ttp-summaryコマンドの使用例¶
HayabusaでJSONLタイムラインを作成する:
TTPsの要約を表示する:
結果をCSVに保存:
ttp-summaryスクリーンショット¶
ttp-visualize-sigmaコマンド¶
TTPsを抽出し、MITRE ATT&CK Navigatorで視覚化するための JSON ファイルを作成します。
- 入力: JSONL
- プロファイル:
%MitreTactics%と%MitreTags%フィールドを出力するプロファイル (例:verbose,all-field-info-verbose,super-verbose) - 出力: JSON
必須オプション:
-t, --timeline <JSONL-FILE-OR-DIR>: HayabusaのJSONLタイムラインまたはディレクトリ
任意オプション:
-o, --output <JSON-FILE>: 結果を保存するJSONファイル (デフォルト:mitre-ttp-heatmap.json)-q, --quiet: ロゴを出力しない (デフォルト:false)
ttp-visualizeコマンドの使用例¶
HayabusaでJSONLタイムラインを作成する:
TTPsを抽出し、mitre-ttp-heatmap.jsonに保存する:
https://mitre-attack.github.io/attack-navigator/を開き、Open Existing Layerをクリック、JSONファイルをアップロードする。
ttp-visualizeスクリーンショット¶
ttp-visualize-sigmaコマンド¶
TTPsをSigmaルールから抽出し、MITRE ATT&CK Navigatorで視覚化するための JSON ファイルを作成します。
- 入力: Sigmaルールディレクトリ
- 出力: JSON
必須オプション:
-r, --ruleDir <SIGMA-DIR>: Sigmaルールディレクトリ
任意オプション:
-o, --output <JSON-FILE>: 結果を保存するJSONファイル (デフォルト:sigma-rules-heatmap.json)-q, --quiet: ロゴを出力しない (デフォルト:false)
ttp-visualize-sigmaコマンドの使用例¶
Sigmaリポジトリをクローンします:
TTPsを抽出し sigma-rules-heatmap.jsonに保存します。: