すごいログ分析ツール(TWSLA)の改善 4日目：sigmaコマンドの対応完了

今朝は３時２０分に自力で起きました。助手の猫さんは４時ぐらいに、起きてやってきました。

TWLSAのsigma対応の続きです。sigmaのルールを

からダウンロードして沢山読み込ませてみました。この前見つけた問題以外に、

  condition: (selection1 and not 1 of filter_*) or 1 of selection_5136_*
  

のように*が２つあるパターンがエラーになって読み込めませんでした。
どうやら、sigma-goパッケージの問題のようです。

や

 で解決するのを待つことにしました。
現状は、

condition: (selection1 and not (filter_empty or filter_null)) or (selection_5136_1 or selection_5136_2 or selection_5136_3) 

のように*が２つ登場しないような書き換えで対応できます。
読み込んだルールとエラーで読み込まなかったルールの数をわかるようにしました。--strictというオプションをつけると、エラーで読み込めないルールがある時にはエラー終了するようにしました。

r:が読み込んだルール、i:がエラーでスキップした数です。

Windowsの2700ぐらいのルールを読み込んでテストしても、それほど遅くならないので、並列処理対応は先送りしようと思います。

結果の表示からログを削除してルールのタグを追加しました。

選択してエンターキーを押すと

のように詳細が表示されます。タグやログも含まれています。
集計の画面にもタグを表示しました。

sigmaルールのタグのattack.t1033などからサイバー攻撃を分析する

SIGMAルールのリポジトリ（GITHUB）からZIPをダウンロードし、どんなルールが含まれているか MITER ATT&CKにマッピングしてみた – k2-ornata（個人的「やってみたこと」ブログ）

という記事を見つけて、何か対応できないか考えましたが、これを先送りしようと思います。

grokのパッケージでデータを抽出する機能をつけたらリリースしようと思います。

明日に続く