From 90583e540843cac39f1def8a2ed2a7c0a42154fa Mon Sep 17 00:00:00 2001 From: Tanaka Zakku <71482215+YamatoSecurity@users.noreply.github.com> Date: Sun, 19 Dec 2021 19:36:10 +0900 Subject: [PATCH] =?UTF-8?q?AboutRuleCreation-sigmac=E3=81=AE=E8=BF=BD?= =?UTF-8?q?=E5=8A=A0=E3=80=81=E3=81=9D=E3=81=AE=E4=BB=96=E3=81=AE=E4=BF=AE?= =?UTF-8?q?=E6=AD=A3?= MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit --- doc/AboutRuleCreation-English.md | 7 ++++++- doc/AboutRuleCreation-Japanese.md | 9 +++++++-- 2 files changed, 13 insertions(+), 3 deletions(-) diff --git a/doc/AboutRuleCreation-English.md b/doc/AboutRuleCreation-English.md index 3c7a8b39..d8e24183 100644 --- a/doc/AboutRuleCreation-English.md +++ b/doc/AboutRuleCreation-English.md @@ -576,4 +576,9 @@ detection: - ProcessName|endswith: "powershell.exe" - ProcessName|endswith: "WMIC.exe" condition: selection_1 and selection_4 and not (selection_2 and not filter_2) and not filter_3 and not filter_1 -``` \ No newline at end of file +``` + +# Converting sigma rules to hayabusa format +We have created a backend for sigmac to convert rules from sigma to hayabusa format [here](https://github.com/Yamato-Security/hayabusa/blob/main/tools/sigmac/). + +The documentation for how to use it is [here](https://github.com/Yamato-Security/hayabusa/blob/main/tools/sigmac/README-English.md). \ No newline at end of file diff --git a/doc/AboutRuleCreation-Japanese.md b/doc/AboutRuleCreation-Japanese.md index aadea2f3..7aeca857 100644 --- a/doc/AboutRuleCreation-Japanese.md +++ b/doc/AboutRuleCreation-Japanese.md @@ -348,7 +348,7 @@ Hayabusaに`.\rules\hayabusa\default\alerts\System\7045_CreateOrModiftySystemPro また、自分で作成した異なる regexes と allowlist テキストファイルを使用することもできます。 デフォルトの `./config/detectlist_suspicous_services.txt` と `./config/allowlist_legitimate_services.txt` を参考にして、独自のファイルを作成してください。 -## 条件 +## condition (条件) 上記で説明した表記法では、`AND`や`OR`の論理を表現することができますが、複雑な論理を定義しようとすると混乱してしまうでしょう。 より複雑なルールを作りたい場合は、以下のように `condition` キーワードを使用します。 @@ -583,4 +583,9 @@ detection: - ProcessName|endswith: "powershell.exe" - ProcessName|endswith: "WMIC.exe" condition: selection_1 and selection_4 and not (selection_2 and not filter_2) and not filter_3 and not filter_1 -``` \ No newline at end of file +``` + +# SigmaルールからHayabusaルール形式への自動変換 +SigmaルールからHayabusaルール形式への自動変換を行うsigmacのバックエンドを[こちら](https://github.com/Yamato-Security/hayabusa/tree/main/tools/sigmac)で作成しました。 + +使い方のReadmeは[こちら](https://github.com/Yamato-Security/hayabusa/blob/main/tools/sigmac/README-Japanese.md)です。 \ No newline at end of file