Hayabusa项目中Sigma关联规则计数显示问题的分析与解决

问题背景

在Hayabusa项目（一个Windows事件日志分析工具）中，用户发现当使用Sigma关联规则进行事件关联分析时，结果统计显示存在两个主要问题：

1. 在"Events with hits"统计中，关联规则匹配的事件数量未被正确计入
2. 在"Top computers with most unique detections"部分，关联规则的结果未被正确显示

技术分析

Sigma关联规则工作原理

Hayabusa支持Sigma格式的关联规则，允许用户定义基于多个子规则的事件关联条件。在示例中使用的规则类型是"value_count"，它会统计在指定时间窗口（5分钟）内，同一计算机上出现的不同子规则匹配事件数量。

现有统计机制的问题

当前版本中，Hayabusa的统计模块在处理关联规则结果时存在以下技术限制：

1. 事件命中计数不完整：系统仅统计直接匹配规则的事件，而忽略了通过关联规则间接匹配的事件
2. 计算机统计缺失：关联规则结果未被纳入"Top computers"统计中，导致这部分重要信息丢失

解决方案设计

经过技术讨论，确定了以下改进方案：

1. 事件命中计数逻辑优化：

   • 统计所有参与关联规则匹配的原始事件
   • 即使关联规则设置了"generate: false"，也应计入原始事件
   • 避免重复计数（一个事件可能匹配多个规则）

2. 计算机统计增强：

   • 提取关联规则结果中的计算机信息
   • 将关联规则检测结果纳入计算机统计
   • 保持统计的一致性和准确性

实现建议

对于开发者而言，实现这些改进需要考虑：

1. 在事件处理流水线中标记所有参与关联的事件
2. 设计高效的数据结构来跟踪事件与规则的映射关系
3. 优化统计计算逻辑，确保性能不受影响
4. 添加适当的测试用例验证改进效果

总结

Hayabusa作为专业的日志分析工具，正确处理关联规则的统计信息对于安全分析至关重要。本次改进将使工具在以下方面得到提升：

1. 提供更准确的事件匹配统计数据
2. 增强关联分析结果的可视化
3. 提高整体分析效率和数据可信度

这些改进将使安全分析师能够更准确地评估日志数据中的威胁指标，提升安全事件检测和响应的效率。