-
Notifications
You must be signed in to change notification settings - Fork 207
ピボットキーワードの作成
DustInDark edited this page Apr 21, 2022
·
1 revision
-p
もしくは--pivot-keywords-list
オプションを使うことで不審なユーザやホスト名、プロセスなどを一覧で出力することができ、イベントログから素早く特定することができます。
ピボットキーワードのカスタマイズはconfig/pivot_keywords.txt
を変更することで行うことができます。以下はデフォルトの設定になります。:
Users.SubjectUserName
Users.TargetUserName
Users.User
Logon IDs.SubjectLogonId
Logon IDs.TargetLogonId
Workstation Names.WorkstationName
Ip Addresses.IpAddress
Processes.Image
形式はKeywordName.FieldName
となっています。例えばデフォルトの設定では、Users
というリストは検知したイベントからSubjectUserName
、 TargetUserName
、 User
のフィールドの値が一覧として出力されます。hayabusaのデフォルトでは検知したすべてのイベントから結果を出力するため、--pivot-keyword-list
オプションを使うときには -m
もしくは --min-level
オプションを併せて使って検知するイベントのレベルを指定することをおすすめします。まず-m critical
を指定して、最も高いcritical
レベルのアラートのみを対象として、レベルを必要に応じて下げていくとよいでしょう。結果に正常なイベントにもある共通のキーワードが入っている可能性が高いため、手動で結果を確認してから、不審なイベントにありそうなキーワードリストを1つのファイルに保存し、grep -f keywords.txt timeline.csv
等のコマンドで不審なアクティビティに絞ったタイムラインを作成することができます。
Translated Pivot Keyword Generator