Zach Mathis (田中ザック)

良い質問です！まだそういうルールはありませんが、それができたら、例えば、攻撃者が10回パスワードを失敗した後に、ログオンに成功した場合は、「パスワード推測攻撃が成功された！」というルールが書けるので、良さそうです。 が、実装が難しそうだったら、最初はnearとcountの組み合わせに対応しなくて良いと思います。

@nishikawaakira やはり、csv-timelineで実装するより新しいalertコマンドでElastic Stackやメール？、柔軟に通知方法をカスタマイズできるようにしたいので、まず別のissueでalertコマンドを実装してから、slack通知の機能をお願いできたらと思います。理由はalertコマンドを使う時に該当しないcsv-timelineオプションがある、alertコマンドにしか使えないオプションがcsv-timelineに入ってしまう、alertコマンドに分けた方が新機能としてアピールできるためです。ということで、暫く待って頂けますか？

参考: hscheckツールでsigmaの正規表現をPCREなしのHyperscanで使えるかどうかチェックできるようです: https://intel.github.io/hyperscan/dev-reference/tools.html

今更気づいて、申し訳ございませんが、hyperscanはIntelが作っているせいかARMに対応していないようなので、そもそも使えないです。。(MAC M1にも対応したいので・・） PCRE-JITはMac M1に対応しているかな？(ARM v5, v7, and Thumb2に対応しているようですが） リンク： https://www.pcre.org/original/doc/html/pcrejit.html

メモ： https://github.com/rust-lang/regex/issues/501#issuecomment-1333797955 regexの焼き寿司さんがデフォルトのunicode対応要らないんじゃない？というコメントを頂いたので、なしでコンパイルして比較してみました。 14GBに対して、unicode ONの場合はメモリが14GB、OFFの場合は13.7GBで約300MBメモリが減りました。また、約32分のスキャンが6秒速くなりました。検知数は同様でした。フィールドに日本語を探す場合があって、メモリ使用＋スキャン時間は対して変わらないので、今のままデフォルトのunicode ONの設定にしようと思います。

The parsing errors in sigma rules were due to unneeded escapes in the regex so we submitted PRs to fix them and now we have no parsing errors with the...

I added some sample config `.yaml` files to the `rules/config/data_mapping` directory. https://github.com/Yamato-Security/hayabusa-rules/pull/424 I want to host them on `hayabusa-rules` so that I can dynamically update/edit them. Haybusa will read in...

@fukusuket Are you interested in implementing this?

@fukusuket Thank you so much! Then I will assign you to this issue.

@fukusuket As we discussed in the last meeting, the field data conversion will most likely cause a slight slowdown so we should add a `-F, --no-field-data-mapping` option under `Output` in...