Hayabusa日志分析工具中的expand修饰符支持解析

背景介绍

Hayabusa作为一款开源的Windows事件日志分析工具，其规则引擎支持多种修饰符来增强检测能力。近期开发团队正在讨论对expand修饰符的完整支持方案，这是当前规则系统中最后一个待实现的关键修饰符。

expand修饰符技术解析

expand修饰符的主要功能是通过预定义列表实现规则条件的动态扩展。与常规修饰符不同，它需要依赖外部配置文件才能正常工作。目前规则库中存在以下五种预定义的扩展列表类型：

• 管理员工作站列表(Admins_Workstations)
• 域控制器主机名列表(DC-MACHINE-NAME)
• 工作站列表(Workstations)
• 内部域名列表(internal_domains)
• 域控制器主机名列表(domain_controller_hostnames)

实现方案设计

开发团队提出了以下技术实现要点：

1. 配置文件存储：

   • 采用./config/expand/目录存储扩展列表文件
   • 每个列表对应一个文本文件(如Admins_Workstations.txt)
   • 文件内容为每行一个扩展值

2. 规则处理逻辑：

   • 当检测到expand修饰符时，工具会查找对应的列表文件
   • 将占位符(如%Admins_Workstations%)替换为文件中的所有值
   • 自动生成多条等效规则条件进行匹配

3. 修饰符组合支持：

   • 基础expand修饰符
   • contains|expand组合修饰符
   • 计划支持startswith|expand和endswith|expand

4. 错误处理机制：

   • 当列表文件不存在时，自动忽略相关规则
   • 在统计信息中单独显示扩展规则的数量和启用状态

应用场景示例

考虑以下检测规则示例：

detection:
    selection:
        EventID: 5145
        RelativeTargetName|contains: '\winreg'
    filter_main:
        IpAddress|expand: '%Admins_Workstations%'
    condition: selection and not filter_main

当Admins_Workstations.txt包含5个IP地址时，工具会将其转换为等效于检查5个独立IP条件的规则，大幅简化了规则编写工作。

技术优势

1. 灵活性：允许用户自定义扩展列表，适应不同环境需求
2. 可维护性：集中管理常用值列表，便于统一更新
3. 兼容性：保持与现有Sigma规则语法的兼容
4. 可扩展性：支持多种修饰符组合使用

未来发展方向

开发团队还计划添加相关命令工具：

1. 列出所有可用的扩展占位符名称
2. 创建扩展列表配置文件的辅助工具

这种设计将使Hayabusa在复杂企业环境中的适应性更强，特别是对于需要频繁更新检测对象列表(如管理员工作站、域控制器等)的场景，提供了更优雅的解决方案。