SIGMAルール読み込み共通部分対応 about hayabusa HOT 6 CLOSED

SIGMAルールの以下項目を対象として作成すると多くのSIGMAルールが流用できる。本issueは各ルールの共通部分の読み込み機能を管理するためのissueとします。

• contains: #78 関連
• endswith
• startswith
• and
• or
• not
• count

from hayabusa.

確認完了。現状yaml.rsでの読み込み部分の処理で問題ないことを確認。
既存のyamlルールと構造が異なり、outputの出力ができない状態になっているため要確認

from hayabusa.

yaml.rsで以下のSIGMAルールを読み込んだ時の結果を共有しておきます。

• 読み込んだyamlファイル https://github.com/SigmaHQ/sigma/blob/master/rules/windows/file_delete/sysmon_sysinternals_sdelete_file_deletion.yml

• yaml.rsでの読み込み

[Hash({String("title"): String("Sysinternals SDelete File Deletion"), String("id"): String("6ddab845-b1b8-49c2-bbf7-1a11967f64bc"), String("description"): String("A General detection to trigger for the deletion of files by Sysinternals SDelete. It looks for the common name pattern used to rename files."), String("status"): String("experimental"), String("date"): String("2020/05/02"), String("author"): String("Roberto Rodriguez (Cyb3rWard0g), OTR (Open Threat Research)"), String("tags"): Array([String("attack.defense_evasion"), String("attack.t1070.004")]), String("references"): Array([String("https://github.com/OTRF/detection-hackathon-apt29/issues/9"), String("https://threathunterplaybook.com/evals/apt29/detections/4.B.4_83D62033-105A-4A02-8B75-DAB52D8D51EC.html")]), String("logsource"): Hash({String("product"): String("windows"), String("category"): String("file_delete")}), String("detection"): Hash({String("selection"): Hash({String("TargetFilename|endswith"): Array([String(".AAA"), String(".ZZZ")])}), String("condition"): String("selection")}), String("falsepositives"): Array([String("Legitime usage of SDelete")]), String("level"): String("medium")})]

from hayabusa.

SIGMAルールはoutputがない。outputがない場合はtitleを表示するということで合意。
titleとlevelを表示したいとのこと、現在のYeaの出力との違いも含めて要検討？

from hayabusa.

• @hitenkoku はcountを対応
• @itiB は#78 の対処後にcontains,startswith,endwithを対応予定
• @ichiichi11 はand,or,notを対応予定

from hayabusa.

conditionの読み込みは #117 で対応済みの為、本issueはクローズします。

hitenkokuのcount処理以外はすべて完了済み

from hayabusa.