Hayabusa项目MITRE战术标签解析异常问题分析

在安全日志分析工具Hayabusa的最新测试中，发现了一个关于MITRE ATT&CK战术标签输出的技术问题。该问题主要影响聚合规则（Correlation Rules）的结果输出，导致JSON时间线中的MitreTactics字段出现异常格式。

问题现象

当使用Hayabusa处理特定样本数据集时，安全研究人员发现以下异常情况：

1. 在"PW Spray"聚合规则（Sec_4648_Med_ExplicitLogon_PW-Spray_Correlation）的两次匹配中
2. 在"PW Guessing"聚合规则（Sec_4625_Med_LogonFail_WrongPW_PW-Guessing_Correlation）的一次匹配中

这些规则的输出结果中，MitreTactics字段没有像其他规则那样正常显示"credaccess"战术，而是出现了格式混乱的数据。

技术背景

MITRE ATT&CK框架是网络安全领域广泛使用的知识库，它将攻击行为分类为不同的战术（Tactics）和技术（Techniques）。在日志分析工具中，正确标注这些战术信息对于威胁检测和事件响应至关重要。

Hayabusa作为一款专业的Windows事件日志分析工具，其JSON时间线输出中的MitreTactics字段本应清晰地展示检测到的攻击行为所属的MITRE战术类别。

问题根源

经过开发团队分析，该问题源于聚合规则结果记录中的标签格式化处理过程存在缺陷。具体表现为：

• 对于常规检测规则，战术标签能够正确输出
• 但对于需要聚合多个事件的关联规则，标签格式化逻辑出现异常

解决方案

开发团队已提交修复代码，主要调整了聚合规则结果记录的标签处理流程。该修复确保：

1. 所有规则类型（包括聚合规则）都能正确输出MITRE战术标签
2. 保持输出格式的一致性
3. 不影响原有检测逻辑的准确性

影响评估

该问题属于输出格式问题，不影响实际检测能力。但可能对以下场景造成困扰：

• 自动化处理JSON输出的工作流
• 依赖MitreTactics字段进行后续分析的工具链
• 人工阅读分析报告时的体验

最佳实践建议

对于安全分析人员，建议：

1. 定期更新Hayabusa工具和规则库
2. 对关键分析结果进行人工复核
3. 建立输出验证机制，特别是自动化分析流程中

该问题的及时修复体现了开源安全工具持续改进的特性，也提醒我们在使用任何安全分析工具时都需要关注输出结果的完整性和准确性。