Implement near aggregator

[YamatoSecurity]

|near aggregatorを使っているルールはまだ少ないのですが、より正確なルールが書けそうなので、実装できたら実装したいです。

[hitenkoku]

SigmaのWikiを見てみましたが、near aggregatorはdeprecatedと公式に言っているみたいです。 sigmaルール側も現状の利用数が少ないので、一旦保留としたほうが良さそうです。

Near aggregation expression (deprecated, see correlations draft for future plans)

near search-id-1 [ [ and search-id-2 | and not search-id-3 ] ... ]

This expression generates (if supported by the target system and backend) a query that recognizes search_expression (primary event) if the given conditions are or are not in the temporal context of the primary event within the given time frame.

[YamatoSecurity]

複雑のせいか、まだsigma correlationsが正式に定義されていなくて、ルールも無いので、もっと単純なnearルールが作れるようにしたいので、@kazuminnさんにこの件をお願いしました。

[kazuminn]

@YamatoSecurity こちら念のための確認ですが、countとは併用しない感じでしょうか？ ‘selection | near xxx | count() > 10’ などは無しな感じで。

[YamatoSecurity]

良い質問です！まだそういうルールはありませんが、それができたら、例えば、攻撃者が10回パスワードを失敗した後に、ログオンに成功した場合は、「パスワード推測攻撃が成功された！」というルールが書けるので、良さそうです。 が、実装が難しそうだったら、最初はnearとcountの組み合わせに対応しなくて良いと思います。

[kazuminn]

selectionとnearの述語が同じ場合、同じ処理をしてしまうので、時間が二倍かかりますが、 最適化は後回しにして、とりあえず、それで実装してみようと思います。

[kazuminn]

長らく放置気味でしたが、実装を再開