hayabusa-rules:检测Windows事件日志的攻击
项目地址: https://gitcode.com/gh_mirrors/ha/hayabusa-rules 项目介绍
hayabusa-rules 是一个开源仓库,包含了精心挑选的 Sigma 规则,用于检测 Windows 事件日志中的攻击行为。这个项目主要被用于 Hayabusa 的检测规则和配置文件,以及 Velociraptor 内置的 Sigma 检测。与上游的 Sigma 仓库相比,hayabusa-rules 仅包含大多数 Sigma 本地工具能够解析的规则,同时通过添加必要的 Channel、EventID 等字段来简化 logsource 字段,从而减少误报。
项目技术分析
hayabusa-rules 使用 YAML 格式编写检测规则,这是一种易于阅读和编辑的数据序列化格式。项目中的规则是基于 Sigma 规则的子集,但同时也增加了一些特有功能。这些规则不仅可以通过简单的字符串匹配,还可以通过正则表达式、AND、OR 以及其他条件来组合复杂的检测规则。
项目的核心是利用 Sigma 规则的强大功能,针对 Windows 事件日志进行深度分析,以识别潜在的安全威胁。通过精确配置 logsource 字段,项目能够有效减少误报,提高检测的准确性。
项目及技术应用场景
hayabusa-rules 主要适用于以下场景:
- 威胁检测:通过分析 Windows 事件日志,识别可能的攻击行为,如时间篡改、异常登录等。
- 安全审计:用于安全审计过程中,对事件日志进行深度分析,以验证系统的安全性。
- 取证分析:在取证调查中,利用规则检测历史事件日志,以追踪攻击者的行为轨迹。
项目特点
- 精确性:通过细化
logsource字段,减少误报,提高检测规则的精确性。 - 兼容性:规则设计为 Sigma 规则的子集,易于与其他工具兼容,也便于将规则转换回 Sigma 格式。
- 扩展性:支持正则表达式和逻辑运算,允许创建复杂的检测规则,以适应不断变化的安全威胁。
- 易用性:项目提供了丰富的文档和示例,帮助用户快速上手和使用。
以下是一个简化的 YAML 规则文件示例:
author: 例作者
date: 2023-01-01
modified: 2023-01-10
title: 可能的时间篡改
details: '路径:%TargetFilename% ¦ 进程:%Image% ¦ 用户:%User% ¦ 创建时间:%CreationUtcTime% ¦ 上次时间:%PreviousCreationUtcTime% ¦ PID:%PID% ¦ PGUID:%ProcessGuid%'
description: |
当一个文件的创建时间被进程显式修改时,会注册 Change File Creation Time 事件。
此事件有助于跟踪文件的真实创建时间。
攻击者可能会更改后门的创建时间,使其看起来像是与操作系统一起安装的。
id: f03e34c4-6432-4a30-9ae2-76ae6329399a
level: low
status: stable
logsource:
product: windows
service: sysmon
detection:
selection_basic:
Channel: Microsoft-Windows-Sysmon/Operational
EventID: 2
condition: selection_basic
falsepositives:
- unknown
tags:
- t1070.006
- attack.defense-evasion
通过上述介绍,可以看出 hayabusa-rules 是一个功能强大且易于使用的开源项目,适合于各种规模的安全团队和取证专家。通过使用这个项目,用户可以更加高效地分析 Windows 事件日志,及时发现潜在的安全威胁。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
