BlueTriageがGitHubに登場しました。これはWindowsログを迅速に分析するために設計された軽量ツールです。JSON形式のセキュリティイベントを取り込み、統一スキーマへ正規化し、シンプルなルールセットで評価したうえで、初動のインシデントトリアージ向けにアラートファイルとHTMLレポートの両方を生成します。
要するにBlueTriageは、インシデント対応でよくある悩みどころ――ログはすでにエクスポートされているのに、重厚なSIEMパイプラインや長い設定作業に頼らず、素早く内容を理解できる形にし、「危険な兆候(レッドフラグ)」を抽出したい――を解消することを狙っています。現時点のMVPでは、取り込み→正規化→検知→エクスポートという明確なワークフローが実装されており、単一コマンドでイベント一式を処理し、読みやすい形式で確認できます。
標準状態で、このツールにはWindowsセキュリティログでよくあるシナリオをカバーする複数のルールが含まれています。具体的には、ログオン失敗(4625)、ユーザーアカウント作成(4720)、特権グループへの追加(4728/4732)、スケジュールタスク作成(4698)などです。各ルールには重大度レベルが付与され、MITRE ATT&CKのテクニック(例:パスワードスプレーのT1110、スケジュールタスク悪用のT1053.005)にマッピングされているため、確立された攻撃モデルに沿ってアラートを整理しやすくなっています。
現時点では、実行はWindowsシステムとPythonの仮想環境を前提に調整されています。セットアップはリポジトリをクローンし、イベントを含むJSONファイルをスキャンするコマンドを実行し、別コマンドでHTMLレポートを生成します。リポジトリの説明によれば、プロジェクトはPythonで書かれており、レポートのテンプレートにはJinjaが使用されています。
今後は、EVTXファイルのサポート(Windowsのイベントログエクスポートをネイティブに直接取り込み可能にする)、“Sigma-lite”スタイルのYAMLベースのルールへの移行、スコアリングと重大度(HighからLow)による並べ替えの導入、チケットシステムに適したMarkdownレポートの生成などが計画されています。
翻訳元: https://meterpreter.org/skip-the-siem-bluetriage-delivers-instant-incident-reports-from-raw-logs/
