Hayabusaルール

Hayabusa検知ルールはSigmaのようなYML形式で記述されています。rulesディレクトリに入っていますが、将来的にはhttps://github.com/Yamato-Security/hayabusa-rulesのレポジトリで管理する予定なので、ルールのissueとpull requestはhayabusaのレポジトリではなく、ルールレポジトリへお願いします。

ルールの作成方法については、hayabusa-rulesレポジトリのREADME をお読みください。

hayabusa-rulesレポジトリにあるすべてのルールは、rulesフォルダに配置する必要があります。

levelがinformationのルールは events とみなされ、low 以上は alerts とみなされます。

Hayabusaルールのディレクトリ構造は、3つのディレクトリに分かれています。

• default: Windows OSでデフォルトで記録されるログ
• non-default: グループポリシーやセキュリティベースラインの適用でオンにする必要があるログ
• sysmon: sysmonによって生成されるログ。
• testing: 現在テストしているルールを配置するための一時ディレクトリ

ルールはさらにログタイプ（例：Security、Systemなど）によってディレクトリに分けられ、次の形式で名前が付けられます。

• アラート形式: <イベントID>_<イベントの説明>_<リスクの説明>.yml
• アラート例: 1102_SecurityLogCleared_PossibleAntiForensics.yml
• イベント形式: <イベントID>_<イベントの説明>.yml
• イベント例: 4776_NTLM-LogonToLocalAccount.yml

現在のルールをご確認いただき、新規作成時のテンプレートとして、また検知ロジックの確認用としてご利用ください。

---

Translated Hayabusa Rules