FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

现代网络安全面临日益严峻的挑战：无文件恶意软件和混淆技术正越来越多地绕过传统的基于文件的检测方法。为应对这一威胁，JPCERT/CC发布了开源威胁狩猎工具YAMAGoya，该工具利用行业标准检测规则实时识别可疑活动。

开源终端检测方案

YAMAGoya通过将Windows事件追踪（ETW）与内存扫描能力相结合，代表了终端威胁检测领域的重大进步。与传统依赖专有检测引擎的安全工具不同，YAMAGoya直接支持Sigma和YARA规则，使安全分析师能够在基础设施中部署社区驱动的检测逻辑。

该工具完全在用户态运行，无需安装内核驱动，简化了在组织环境中的部署流程。其实时监控能力可同时追踪文件、进程、注册表修改、DNS查询、网络连接、PowerShell执行和WMI命令。

多规则格式支持

据JPCERT/CC介绍，YAMAGoya支持多种规则格式：

• 用于内存扫描的Sigma规则
• YARA规则
• 基于关联检测的自定义YAML规则

安全团队可创建复杂的检测逻辑，通过关联多个事件（如文件创建后执行进程、加载DLL并进行网络通信）来识别恶意活动模式。该工具提供预编译版本供立即评估，源代码也已在GitHub发布以满足定制需求。

灵活的操作模式

YAMAGoya提供图形界面和命令行两种操作模式：

• 管理员可通过简单命令运行Sigma规则监控或内存扫描
• 检测警报会显示在工具界面中
• 同时记录到Windows事件日志（含特定事件ID），便于与SIEM系统集成

这种设计实现了企业环境中的集中化监控与告警。通过支持行业标准检测规则，YAMAGoya使高级威胁检测能力不再受限于商业方案。JPCERT/CC研究人员和事件响应人员现在可以自由使用社区开发的Sigma和YARA规则，从而增强针对新兴威胁的集体网络安全防御能力。

参考来源：

YAMAGoya – Real-Time Threat Monitoring Tool Using Sigma and YARA Rules

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）