From 52bc918cfb4c5fec75eb8ce2cec4545e60aeb1be Mon Sep 17 00:00:00 2001 From: itiB Date: Wed, 6 Apr 2022 01:54:09 +0900 Subject: [PATCH] Add: README.md --- README-Japanese.md | 14 ++++++++++++++ README.md | 15 +++++++++++++++ config/level_tuning.txt | 2 +- 3 files changed, 30 insertions(+), 1 deletion(-) diff --git a/README-Japanese.md b/README-Japanese.md index 9e13daae..5e5a49c5 100644 --- a/README-Japanese.md +++ b/README-Japanese.md @@ -60,6 +60,7 @@ Hayabusaは、日本の[Yamato Security](https://yamatosecurity.connpass.com/) - [Hayabusa v.s. 変換されたSigmaルール](#hayabusa-vs-変換されたsigmaルール) - [検知ルールのチューニング](#検知ルールのチューニング) - [イベントIDフィルタリング](#イベントidフィルタリング) + - [検知レベルのチューニング](#検知レベルのチューニング) - [その他のWindowsイベントログ解析ツールおよび関連プロジェクト](#その他のwindowsイベントログ解析ツールおよび関連プロジェクト) - [Sigmaをサポートする他の類似ツールとの比較](#sigmaをサポートする他の類似ツールとの比較) - [コミュニティによるドキュメンテーション](#コミュニティによるドキュメンテーション) @@ -506,6 +507,19 @@ Sigmaルールは、最初にHayabusaルール形式に変換する必要があ 最高のパフォーマンスを得たい場合はこのリストを使用してください。ただし、検出漏れの可能性が若干あることにご注意ください。 +## 検知レベルのチューニング + +Hayabusaルール、Sigmaルールはそれぞれの作者が検知した際の脅威レベルを決めています。 +ユーザが独自の脅威レベルに設定するには `./config/level_tuning.txt` に変換情報を書き、`hayabusa --level-tuning` を実行することでルールファイルが書き換えられます。 +ルールファイルが直接書き換えられることに注意して使用してください。 + +`./config/level_tuning.txt` の例 +``` +id,next_level +00000000-0000-0000-0000-000000000000,informational # sample leveltunig line +``` +ルールディレクトリ内の `00000000-0000-0000-0000-000000000000` に該当するルールの脅威レベルが `informational` に書き換えられます。 + # その他のWindowsイベントログ解析ツールおよび関連プロジェクト 「すべてを統治する1つのツール」というものはなく、それぞれにメリットがあるため、これらの他の優れたツールやプロジェクトをチェックして、どれが気に入ったかを確認することをお勧めします。 diff --git a/README.md b/README.md index 17b57bc4..5742c975 100644 --- a/README.md +++ b/README.md @@ -60,6 +60,7 @@ Hayabusa is a **Windows event log fast forensics timeline generator** and **thre - [Hayabusa v.s. Converted Sigma Rules](#hayabusa-vs-converted-sigma-rules) - [Detection Rule Tuning](#detection-rule-tuning) - [Event ID Filtering](#event-id-filtering) + - [Detection Level Tuning](#detection-level-tuning) - [Other Windows Event Log Analyzers and Related Projects](#other-windows-event-log-analyzers-and-related-projects) - [Comparison To Other Similar Tools](#comparison-to-other-similar-tools) - [Community Documentation](#community-documentation) @@ -498,6 +499,20 @@ We have provided a sample ID filter list at [`config/target_eventids_sample.txt` Please use this list if you want the best performance but be aware that there is a slight possibility for missing events (false negatives). +## Detection Level Tuning + +The Hayabusa rule and Sigma rule determine the threat level when each author detects it. +To set the user to their own threat level, write the conversion information in `./config/level_tuning.txt` and execute` hayabusa --level-tuning` to rewrite the rule file. +Please note that the rule file will be rewritten directly. + +`./config/level_tuning.txt` Sample +``` +id,next_level +00000000-0000-0000-0000-000000000000,informational # sample leveltunig line +``` + +The threat level of the rule corresponding to `00000000-0000-0000-0000-000000000000` in the rules directory is rewritten to` informational`. + # Other Windows Event Log Analyzers and Related Projects There is no "one tool to rule them all" and we have found that each has its own merits so we recommend checking out these other great tools and projects and seeing which ones you like. diff --git a/config/level_tuning.txt b/config/level_tuning.txt index 2f8de0ea..7f43ac4d 100644 --- a/config/level_tuning.txt +++ b/config/level_tuning.txt @@ -1,2 +1,2 @@ id,next_level -671bb7e3-a020-4824-a00e-2ee5b55f385e,high # CACTUSTORCH Remote Thread Creation \ No newline at end of file +00000000-0000-0000-0000-000000000000,informational # sample leveltunig line