Yamato-Security Hayabusa项目新增Sigma规则大小写敏感匹配功能解析

在日志分析领域，精确匹配是提升检测准确性的重要手段。Yamato-Security团队近期为Hayabusa项目实现了Sigma规则中大小写敏感匹配的功能增强，为安全分析师提供了更精细化的检测控制能力。

功能背景

传统Sigma规则在进行字符串匹配时通常采用不区分大小写的方式，这在某些特定场景下可能导致误报。例如：

• 区分Windows系统路径中的大小写（如C:\Windows\System32与C:\WINDOWS\system32）
• 识别特定编程语言中的大小写敏感标识符
• 匹配严格遵循大小写规范的系统日志条目

技术实现

Hayabusa新增的|cased修饰符支持以下四种匹配模式：

1. 精确匹配
   field|cased: stringHogeHoge
   该语法要求字段值必须与指定字符串完全一致（包括大小写）

2. 前缀匹配
   field|startswith|cased: HogeHoge
   仅匹配以指定字符串开头且大小写一致的字段值

3. 后缀匹配
   field|endswith|cased: HogeHoge
   仅匹配以指定字符串结尾且大小写一致的字段值

4. 包含匹配
   field|contains|cased: HogeHoge
   匹配包含指定子字符串且大小写一致的字段值

应用价值

这项改进为安全运营带来三个层面的提升：

1. 降低误报率
   在需要区分大小写的场景中，可避免因大小写不匹配导致的误报

2. 增强检测精度
   对攻击者故意使用大小写变体规避检测的行为（如cmd.exe与CMD.EXE）提供精确识别能力

3. 合规性支持
   满足某些严格审计场景下对日志内容精确还原的要求

实现原理

在底层实现上，该功能通过以下机制工作：

• 移除默认的字符串规范化处理（如大小写转换）
• 保持原始查询字符串的字符编码
• 在正则表达式构建时禁用忽略大小写标志
• 确保与现有修饰符的链式调用兼容性

最佳实践建议

安全团队在使用该功能时应注意：

1. 仅在确有必要时使用大小写敏感匹配，避免过度限制导致漏报
2. 结合威胁情报，识别攻击者常用的大小写混淆技术
3. 对关键系统路径、注册表项等建议启用该功能
4. 在规则注释中明确说明使用大小写敏感匹配的原因

这项改进体现了Hayabusa项目对检测工程精细化的持续追求，为构建更准确的威胁检测体系提供了重要工具支持。