DetectPack Forge

概要

DetectPack Forgeは、SIEMを学ぶ人や既に利用している人に特化した支援ツールで、簡単に行動検出ルールを生成することができます。ユーザーが示す行動やログを入力するだけで、さまざまな出力形式を得ることが可能です。

主な機能

• 行動記述：具体的な行動（例：「多くの失敗したログインの後に成功」）を記述する。
• 生成される出力：
  • Sigmaルール（ベンダー中立のYAML形式）
  • KQL（Microsoft Sentinel用）
  • SPL（Splunk用）
• テスト：ポジティブおよびネガティブの例を提供。
• プレイブック：簡潔なインシデント対応のチェックリスト。
• MITRE ATT&CK：手法タグを付与。

使いやすさ

一般のユーザーにはもちろんのこと、専門家にとってもルール生成と実装の効率化に寄与する特徴があります。