Skip to content

Releases: Yamato-Security/hayabusa

v3.0.0 🦅

25 Dec 11:03
27de57b
Compare
Choose a tag to compare

3.0.0 [2024/12/25] - 3rd Year Anniversary Release

New Features:

  • New extract-base64 command to extract and decode base64 strings from events. (#1512) (@fukusuket)
  • New expand-list command to output placeholder names used for rules with the expand modifier. (#1513) (@fukuseket)
  • Support for expand field modifiers. (#1434) (@fukusuket)
  • Support for Temporal Proximity (temporal) correlation rules. (#1446) (@fukusuket)
  • Support for Temporal Ordered Proximity (temporal_ordered) correlation rules. (#1447) (@fukusuket)

Enhancements:

Bug Fixes:

  • Sorting with csv-timeline was not done perfectly when record IDs were outputted. (#1519) (@fukusuket)
  • -J, --JSON-input would only accept .json files, not .jsonl files so now both are supported. (#1530) (@fukusuket)

新機能:

  • Base64文字列を抽出して、デコードするextract-base64コマンドを追加した。(#1512) (@fukusuket)
  • expand修飾子が入っているルールで使用されるプレースホルダー名を出力するexpand-listコマンドを追加した。(#1513) (@fukuseket)
  • expandフィールド修飾子に対応した。 (#1434) (@fukusuket)
  • Temporal Proximity(temporal)の相関ルールに対応した。 (#1446) (@fukusuket)
  • Temporal Ordered Proximity (temporal_ordered) の相関ルールに対応した。 (#1447) (@fukusuket)

改善:

  • log-metricsコマンドにファイルサイズを追加した。 (#1528) (@fukusuket)

バグ修正:

  • レコードIDが出力されるとき、csv-timelineによるソートが完璧に行われなかった。 (#1519) (@fukusuket)
  • J, --JSON-inputは、.jsonファイルしか対応していなかったので、.jsonlファイルにも対応した。 (#1530) (@fukusuket)

v2.19.0 🦅

26 Nov 02:17
aabad83
Compare
Choose a tag to compare

2.19.0 [2024/11/26] "Every Day Is A Good Day Release"

New Features:

  • Support for the gt, gte, lt, lte field modifiers. (#1433) (@fukusuket)
  • New log-metrics command to get information about .evtx files. (computer names, event count, first timestamp, last timestamp, channels, providers) (#1474) (@fukusuket)
  • New -b, --disable-abbreviations options for the following commands to disable Channel and Provider abbreviations for when you want to check the original values. (#1485) (@fukusuket)
    • csv-timeline
    • json-timeline
    • eid-metrics
    • log-metrics
    • search
  • Support for utf16/utf16be/utf16le/wide field modifiers to be used with the base64offset|contains field modifier. (#1432) (@fukusuket)
    • utf16|base64offset|contains
    • utf16be|base64offset|contains
    • utf16le|base64offset|contains
    • wide|base64offset|contains

Enhancements:

  • Updated the yaml-rust crate to yaml-rust2. (#461) (@YamatoSecurity)
  • windash characters are now being dynamically read from rules/config/windash_characters.txt. (#1440) (@fukusuket)
  • logon-summary command now displays logon information from RDP events. Note: Hayabusa will output more detailed information when saving to a file. (#1468) (@fukusuket)
  • The colors were updated to make it easier to read. (#1480) (@YamatoSecurity)
  • Added start and finish messages of the day. (#1492) (@fukusuket)
  • New color scheme added to output. (#1491) (@fukusuket)
  • File size is now displayed next to the file name under the progress bar. (#1471) (@fukusuket)

Bug Fixes:

  • logon-summary command would sometimes crash with corrupted logs. (#1477) (@fukusuket)
  • Some results would be displayed after the progress bar when outputting results to the terminal with csv-timeline and json-timeline. (#1459) (@fukusuket)
  • The detailed field value results in aggregation rule alerts were not sorted so csv-timeline and json-timeline would not output completely exact results each time. (#1466) (@fukusuket)
  • Updated hayabusa-evtx crate to 0.8.12. (@YamatoSecurity)
    • JSON field output order is now preserved according to the original XML. (omerbenamram/evtx #241)
    • Multiple sub-nodes with attributes and the same name would be overwritten and only the last one kept. (omerbenamram/evtx #245)
  • logon-summary and eid-metrics would sometimes output multiple progress bars. #1479 (@fukusuket)
  • The progress bar has been removed when outputting to terminal and not sorting events as is unneeded. #1508 (@fukusuket)

Other:

新機能:

  • gtgteltlteのフィールドモディファイアに対応した。(#1433) (@fukusuket)
  • 新しいlog-metricsコマンドで.evtxファイルの情報を取得できるようになった。(コンピュータ名、イベント数、最初のタイムスタンプ、最後のタイムスタンプ、チャネル、プロバイダ) (#1474) (@fukusuket)
  • 以下のコマンドにChannelProviderの略称を無効にする-b, --disable-abbreviationsオプションを追加した。元の値を確認したい時に便利。 (#1485) (@fukusuket)
    • csv-timeline
    • json-timeline
    • eid-metrics
    • log-metrics
    • search
  • utf16/utf16be/utf16le/wideフィールドモディファイアがbase64offset|containsフィールドモディファイアと一緒に使えるようになった。 (#1432) (@fukusuket)
    • utf16|base64offset|contains
    • utf16be|base64offset|contains
    • utf16le|base64offset|contains
    • wide|base64offset|contains

改善:

  • yaml-rustクレートをyaml-rust2に更新した。(#461) (@YamatoSecurity)
  • windash文字が、rules/config/windash_characters.txtから動的に読み込まれるようになった。(#1440) (@fukusuket)
  • logon-summaryコマンドがRDPイベントからのログオン情報を表示するようになった。注意: ファイルに保存する場合、Hayabusaはより詳細な情報を出力する。(#1468) (@fukusuket)
  • 見やすくなるように色を更新した。 (#1480) (@YamatoSecurity)
  • 実行開始と終了のメッセージを出力するようにした。 (#1492) (@fukusuket)
  • 出力に新しい配色を追加した。 (#1491) (@fukusuket)
  • ファイルサイズがプログレスバーの下のファイル名の横に表示されるようになった。 (#1471) (@fukusuket)

バグ修正:

  • logon-summary`コマンドが破損したログでクラッシュすることがあった。(#1477) (@fukusuket)
  • csv-timelinejson-timelineコマンドで、結果をターミナルに出力すると、プログレスバーの後にいくつかの結果が表示されていた。(#1459) (@fukusuket)
  • 集計ルールのアラートの詳細フィールド値の結果がソートされていないため、csv-timelinejson-timelineは、毎回完全に正確な結果を出力しなかった。 (#1466) (@fukusuket)
  • hayabusa-evtxクレートをバージョン0.8.12に更新した。(@YamatoSecurity)
    • JSONフィールドの出力順序が元のXMLに従って保持されるようになった。(omerbenamram/evtx #241)
    • 属性と同じ名前を持つ複数のサブノードは上書きされ、最後の1つだけが出力されていた。(omerbenamram/evtx #245)
  • logon-summaryeid-metricsが複数のプログレスバーを出力することがあった。 #1479 (@fukusuket)
  • ターミナルに出力し、イベントをソートしない場合、プログレスバーは不要なため削除された。 #1508 (@fukusuket)

その他:

  • timeline-offsetオプションは、--time-offsetに名前変更された。 (#1490) (@YamatoSecurity)

v2.18.0 🦅

22 Oct 23:21
11d1813
Compare
Choose a tag to compare

2.18.0 [2024/10/23] "Sector Release"

New Features:

  • Support for the fieldref modifier (alias to the equalsfield modifier). (#1409) (@hitenkoku)
  • The fieldref|endswith modifier was created as an alias to endswithfield to replace it in the future. (#1437) (@fukusuket)
  • Support for fieldref|startswith and fieldref|contains modifiers. (#1439) (@fukusuket)
  • Support for XOR encoded rules to minimize files put on the system as well as bypass anti-virus products that give false positives on rules. (#1419) (@fukusuket)
    • We will include packages in the Releases page that are already configured to use this. If you wanted to manually configure this though, download encoded_rules.yml and place it in the Hayabusa's root folder. This file is created from the rules in the hayabusa-rules repository and is automatically updated anytime there is a rule update. Delete all of the files inside the rules folder except for the config directory as those files are not yet contained in a single file.
    • Note: The report generated by the -H option cannot create a link to the rule (only the rule name is outputted.)
    • rules/config config files are now loaded from a single file rules_config_files.txt to reduce the number of files needed to be stored on a target system for live response. (#1420) (@fukusuket)

Bug Fixes:

  • Unneeded line breaks when using -o in the search command. (#1425) (@fukusuket)
  • Sigma correlation rules required the group-by field but now it is optional. (#1442) (@fukusuket)
  • Hayabusa will give an error message if the rules referenced by a correlation rule are not found. (#1444) (@fukusuket)
  • Field information was not being outputted when the all-field-info profiles were used. (#1450) (@fukusuket)

Other:

新機能:

  • fieldrefモディファイア(equalsfieldモディファイアのエリアス)に対応した。(#1409) (@hitenkoku)
  • fieldref|startswithfieldref|containsモディファイアに対応した。 (#1439) (@fukusuket)
  • fieldref|endswithモディファイアは、endswithfieldをリプレースするためのエイリアスとして作成された。(#1437) (@fukusuket)
  • XORエンコードされたルールをサポートし、端末に置かれるファイルを最小限に抑えるとともに、ルールに過検知するアンチウイルス製品を回避する。(#1419) (@fukusuket)
    • リリースページで、この機能を設定済みのパッケージを含める予定。手動で設定したい場合は、encoded_rules.ymlをダウンロードして、Hayabusaのルートフォルダに置いてください。このファイルは、hayabusa-rulesリポジトリ内のルールから作成されており、ルールが更新されるたびに自動的にアップデートされる。configディレクトリ以外のrulesフォルダ内のファイルは、まだ単一ファイルに含まれていないので削除してください。
    • 注意: -Hオプションで生成されるレポートは、ルールへのリンクを作成せず、ルール名だけが出力される。
  • rules/configの設定ファイルが単一のファイルrules_config_files.txtからロードされるようになり、ライブ調査のためにターゲットシステムに保存する必要があるファイル数が減った。(#1420) (@fukusuket)

バグ修正:

  • searchコマンドの-oオプションを使用した際に不要な改行が出力されていた。(#1425) (@fukusuket)
  • Sigma相関ルールのgroup-byフィールドは、必須だったが任意に変えた。(#1442) (@fukusuket)
  • Hayabusaは、相関ルールで参照されているルールが見つからない場合、エラーメッセージを表示するようにした。 (#1444) (@fukusuket)
  • all-field-infoプロファイルを使用した場合、フィールド情報が出力されなかった。 (#1450) (@fukusuket)

その他:

v2.17.0 🦅

22 Aug 23:24
896883a
Compare
Choose a tag to compare

2.17.0 [2024/08/23] "HITCON Release"

Note: the hayabusa-2.17.0-win-x64-embedded-config.zip binary has its config files embedded into the binary to reduce the number of files. This is intended for when Hayabusa is used for live analysis or used with Velociraptor.

New Features:

Enhancements:

  • Support for the newer version 0.6.x cidr-utils crate. (#1366) (@hitenkoku)
  • Added support for Sigma correlation rule's name lookup. (#1363) (@fukusuket)
  • Enabled low memory mode by default. -s, --low-memory-mode is now -s, --sort-events - Sort events before outputting results. (warning: this uses much more memory!). (#1361) (@hitenkoku)
    • Note: you need to enable sorting in order to use -R, --remove-duplicate-data and -X, --remove-duplicate-detections.
  • Sigma correlation reference rules now do not output alerts by default. You can enable them by adding generate: true to the rule. (#1367) (@fukusuket)
  • Data fields are now displayed as indexed strings instead of as all Data fields or in an array for JSON. (#1371) (@fukusuket)
    • Before: "Data": ["17514", "Multiprocessor Free", "Service Pack 1"]
    • After: "Data[3]": "17514", "Data[4]": "Multiprocessor Free", "Data[5]": "Service Pack 1"
  • The configuration files in the config folder are now also embedded in the binary to reduce the number of files in the release package. (#1370) (@hitenkoku)
    • Note: you will not be able to run the set-default-profile command without the config directory files as it relies on config/default_profile.yaml.
  • Aggregation rule alerts now show Channel and EventID information even when there are multiple results. (#1342) (@fukusuket)
  • In the JSON timeline, when there is no information in the Details field, we changed the default output of "-" to {} in order to make parsing easier. (#1386) (@hitenkoku)
  • Added support for the (en dash), (em dash), and (horizontal bar) characters for the windash modifier to prevent signature bypass. (#1392) (@hitenkoku)
  • Updated the MITRE ATT&CK tags to support Sigma version 2 format. (Ex: defense_evasion => defense-evasion) (@fukusuket)
  • Updated the evtx crate to the latest for enhancements and bug fixes.

Bug Fixes:

  • Sigma correlation rule count was not showing up in Events with hits. (#1373) (@fukusuket)
  • Correlation rule count was not showing up in Events with hits. (#1374) (@fukusuket)
  • Aggregation condition rule count was not showing up in Events with hits. (#1375) (@fukusuket)
  • In rare cases, the list of rule authors would not be displayed to the terminal. (#1383) (@fukusuket)

新機能:

改善:

  • cidr-utilsクレートを新バージョン0.6.xに対応した。 (#1366) (@hitenkoku)
  • Sigma相関ルールのnameルックアップに対応した。 (#1363) (@fukusuket)
  • デフォルトで低メモリモードを有効にした。-s, --low-memory-modeは、-s, --sort-events - 出力/保存する前に結果をソートする。(注意: より多くのメモリを消費する。)(#1361) (@hitenkoku)
    • 注意: -R, --remove-duplicate-dataまたは-X, --remove-duplicate-detectionsを使用するには、ソートを有効にする必要がある。
  • Sigma相関ルールが参照しているルールは、デフォルトで結果を出力しないようにした。ルールにgenerate: trueを指定すると、出力される。 (#1367) (@fukusuket)
  • Dataフィールドは、すべてDataフィールドとして、またはJSONの配列としてではなく、インデックス化された文字列として表示されるようになった。(#1371) (@fukusuket)
    • 前: "Data": ["17514", "Multiprocessor Free", "Service Pack 1"]
    • 後: "Data[3]": "17514", "Data[4]": "Multiprocessor Free", "Data[5]": "Service Pack 1"
  • リリースパッケージのファイル数を減らすために、configフォルダ内の設定ファイルもバイナリに埋め込まれるようにした。 (#1370) (@hitenkoku)
    • 注意: set-default-profileコマンドは、config/default_profile.yamlに依存しているので、configディレクトリファイルがないと実行できない。
  • 集計ルールのアラートに、複数の結果がある場合でもChannelEventIDの情報が表示されるようにした。 (#1342) (@fukusuket)
  • JSONタイムラインでDetailsフィールドに情報がない場合、JSONがパースしやすくなるように、デフォルトで出力される"-"{}に変更した。(#1386) (@hitenkoku)
  • シグネチャーバイパスを防ぐため、- (エンダッシュ)、- (エムダッシュ)、 (水平バー) 文字を windash 修飾子でサポートするようにした。(#1392) (@hitenkoku)
  • MITRE ATT&CKタグをSigmaバージョン2の形式に対応させた。(例: defense_evasion => defense-evasion) (@fukusuket)
  • evtxクレートを最新のものに更新し、機能改善とバグ修正を行った。

バグ修正:

  • Sigmaの相関ルールのカウントがEvents with hitsに表示されていなかった。(#1373) (@fukusuket)
  • 相関ルールのカウントがEvents with hitsに表示されていなかった。(#1374) (@fukusuket)
  • 集計ルールのカウントがEvents with hitsに表示されていなかった。(#1375) (@fukusuket)
  • まれに、ルール作成者の一覧が表示されないことがあった。 (#1383) (@fukusuket)

v2.16.1

02 Aug 02:41
63980ee
Compare
Choose a tag to compare

This release is the same as v2.16.0 with updated rules as of August 2nd, 2024. We are re-releasing just the Windows packages because Windows defender was giving false positive alerts on certain rules. We have temporarily removed those rules so you should not receive false positives on rules anymore. If you do, please create a GitHub issue and tell us the path of the offending rules.

v2.16.0 🦅

11 Jun 08:58
efaca57
Compare
Choose a tag to compare

2.16.0 [2024/06/11] "FIRSTCON24 Release"

New Features:

  • By default now, only rules that are applicable to loaded evtx files will be enabled. This is based on the Channel field in .evtx file and .yml rule. For example, if Security.evtx was being scanned, then only rules that have Channel: Security defined will be used against this file. In our benchmarks, this usually gives a speed benefit of around 20% when scanning single evtx files but can give up a 10x speed performance depending on the file. If you think there are multiple channels being used in a single .evtx file or you want to use rules that do not have the Channel field defined in order to scan all .evtx files regardless of the channel, then you can turn off this filtering with the -A, --enable-all-rules option in csv-timeline and json-timeline. (#1317) (@fukusuket)
  • By default now, .evtx files that have applicable rules will be loaded. So for example, if you are scanning a directory of various event logs but only enable a rule that is looking for Channel: Security then Hayabusa will ignore all non-security event logs. In our benchmarks, this gives a speed benefit of around 10% with normal scans and up to 60%+ performance increase when scanning with a single rule. If you want to load all .evtx files regardless of channel, then you can turn off this filtering with the -a, --scan-all-evtx-files option in csv-timeline and json-timeline. (#1318) (@fukusuket)
  • Note: Channel filtering only works with .evtx files and you will receive an error if you try to load event logs from a JSON file with -J, --json-input and also specify -A or -a. (#1345) (@fukusuket)
  • Support for Sigma Correlation's Event Count. (#1337) (@fukusuket)
  • Support for Sigma Correlation's Value Count. (#1338) (@fukusuket)

Enhancements:

  • You can now specify multiple directories with the -d, --directory option. (#1335) (@hitenkoku)
  • You can now analyze Splunk logs exported from the REST API. (#1083) (@hitenkoku)
  • You can now specify multiple groups with count. Ex: count() by IpAddress,SubStatus,LogonType >= 2 Also, the output has been updated. Ex: [condition] count(TargetUserName) by IpAddress > 3 in timeframe [result] count: 4 TargetUserName:tanaka/Administrator/adsyncadmin/suzuki IpAddress:- timeframe:5m -> Count: 4 ¦ TargetUserName: tanaka/Administrator/adsyncadmin/suzuki ¦ IpAddress: - (#1339) (@fukusuket)
  • Added support for specifying an optional Provider_Name field in field data mapping files (rules/config/data_mapping/*.yaml) as well as support for Data[x] notation. (#1350) (@fukusuket)
  • JSON output in count rules now separates field information. (#1342) (@fukusuket)
    • Before: "Details": "[condition] count() by IpAddress >= 5 in timeframe [result] count:3558 IpAddress:192.168.198.149 timeframe:5m"
    • After: "Details": { "Count": 3558, "IpAddress": "192.168.198.149" }

新機能:

  • デフォルトでは、.evtxファイルに適用可能なルールのみ有効になる。これは、.evtxファイルと.ymlルールのChannelフィールドに基づく。例えば、Security.evtxがスキャンされている場合、Channel: Securityが定義されているルールのみがこのファイルに対して使用される。ベンチマークでは、単一のevtxファイルをスキャンする場合、パフォーマンスが約20%向上される。1つの.evtxファイルで複数のチャネルが使用されている場合や、チャネルが定義されていないルールを使用して、チャネルに関係なくすべての.evtxファイルをスキャンしたい場合は、csv-timelinejson-timeline-A、--enable-all-rules オプションでこのフィルタリングをオフにすることができる。(#1317)(@fukusuket)
    • 現在のところ、Channelが定義されておらず、すべての.evtxファイルをスキャンすることを意図している検知ルールは以下の2つだけ:
  • デフォルトでは、適用可能なルールを持つ.evtxファイルのみ読み込む。たとえば、さまざまなイベントログのディレクトリをスキャンしている場合でも、 Channel: Security を探すルールのみを有効にした場合、HayabusaはSecurity以外のすべてのイベントログを無視します。ベンチマークでは、通常のスキャンで約10%、単一のルールでスキャンする場合は最大60%以上のパフォーマンス向上が得られる。チャネルに関係なくすべての.evtxファイルを読み込みたい場合は、csv-timelinejson-timeline-a、--scan-all-evtx-files オプションでこのフィルタリングをオフにすることができる。(#1318) (@fukusuket)
  • 注意: チャンネルフィルタリングは .evtx ファイルにのみ適用され、-J, --json-inputオプションを使用してイベントログをJSONファイルから読み込む際に-Aまたは-aを指定するとエラーが発生する。(#1345) (@fukusuket)
  • Sigma CorrelationのEvent Countに対応した。 (#1337) (@fukusuket)
  • Sigma CorrelationのValue Countに対応した。 (#1338) (@fukusuket)

改善:

  • -d, --directoryオプションで複数のフォルダを指定できるようにした。 (#1335) (@hitenkoku)
  • REST APIからエクスポートされたSplunkログを分析できるようになった。 (#1083) (@hitenkoku)
  • countで複数のグループを指定できるようにした。例: count() by IpAddress,SubStatus,LogonType >= 2。また、出力される結果を更新した。例: [condition] count(TargetUserName) by IpAddress > 3 in timeframe [result] count: 4 TargetUserName:tanaka/Administrator/adsyncadmin/suzuki IpAddress:- timeframe:5m -> Count: 4 ¦ TargetUserName: tanaka/Administrator/adsyncadmin/suzuki ¦ IpAddress: - (#1339) (@fukusuket)
  • フィールドデータマッピングファイル(rules/config/data_mapping/*.yaml)で任意のProvider_Nameフィールドを指定できるようにし、Data[x]表記に対応した。(#1350) (@fukusuket)
  • カウントルールのJSON出力で、フィールド情報が分離されるようになった。 (#1342) (@fukusuket)
    • 以前: "Details": "[condition] count() by IpAddress >= 5 in timeframe [result] count:3558 IpAddress:192.168.198.149 timeframe:5m"
    • 現在: "Details": { "Count": 3558, "IpAddress": "192.168.198.149" }

v2.15.0 🦅

20 Apr 21:42
64baed7
Compare
Choose a tag to compare

2024/06/05 Update

  • I updated the detections rules so that they do not include two rules that cause false positives for Windows Defender for the Windows 65 bit package: hayabusa-2.15.0-win-x64-r2.zip (@YamatoSecurity)

2.15.0 [2024/04/20] "Sonic Release"

Enhancements:

  • Added support for windash field modifier (ex. |contains|windash:, |contains|all|windash:) in sigma rules. (#1319) (@hitenkoku)
    • https://sigmahq.io/docs/basics/modifiers.html#windash
    • Note: currently on the backend we convert the use of windash in rules so they are compatibile with previous versions of Hayabusa, however, around the end of May we will start to keep the use of windash as-is so please update to this version before then or else you will recieve rule parsing errors if you update rules.

Bug Fixes:

  • -T detection frequency timeline was not usable in version 2.14.0. (#1322) (@fukusuket)
  • Fixed windash not working when there is a wildcard. (#1327) (@hitenkoku)

改善:

  • Sigmaルールの windashフィールド修飾子 (例: |contains|windash:|contains|all|windash:)に対応した。 (#1319) (@hitenkoku)
    • https://sigmahq.io/docs/basics/modifiers.html#windash
    • 注意: 現在、バックエンドでは、以前のバージョンのHayabusaと互換性があるようにルール内のwindashの使用を変換しているが、5月末ごろには、windashの使用をそのままにする予定なので、それまでにこのバージョンにアップデートしてください。

バグ修正:

  • バージョン2.14.0では、-Tの検知頻度タイムライン出力は使用できなかった。 (#1322) (@fukusuket)
  • windash でワイルドカードが利用できない問題を修正した。 (#1327) (@hitenkoku)

v2.14.0 🦅

29 Mar 21:43
ae75672
Compare
Choose a tag to compare

2.14.0 [2024/03/30] "BSides Tokyo Release"

New Features:

  • Added --include-status option: You can specify rules based on their status. (#1193) (@hitenkoku)
  • Added a -s, --low-memory-mode option that uses up to 95% less memory. However, in order to do this, Hayabusa cannot sort results nor use -R, --remove-duplicate-data and/or -X, --remove-duplicate-detections in combination. (#1254) (@hach1yon @hitenkoku)

Enhancements:

  • Removed unused crates. (@YamatoSecurity)
  • JSON input now supports the format exported from Splunk. (#1083) (@hitenkoku)
  • Performance enchancements. (#1277, #1278) (@fukusuket)
  • Reordered search result fields to look similar to the csv-timeline command results. (#1297) (@hitenkoku)
  • Added master piece character in ascii art eggs. R.I.P. lovely master hidden behind the gas mask. (#1304) (@hitenkoku)
  • Unified help option format in computer-metrics command with other commands. (#1314) (@hitenkoku)

Bug Fixes:

  • JSON output of the search command was missing the AllFieldInfo field. (#1251) (@hitenkoku)
  • The time the user took to choose options in the scan wizard was included in elapsed time so we now exclude that. (#1291) (@hitenkoku)
  • Fixed -h, --help option is being displayed multiple times. (#1309) (@hitenkoku)

新機能:

  • 指定したstatusのルールのみを利用する--include-statusオプションを追加した。 (#1193) (@hitenkoku)
  • メモリ使用量を最大95%削減する-s, --low-memory-mode(低メモリモード)オプションを追加した。ただし、そのためには結果をソートしたり、-R, --remove-duplicate-dataまたは-X, --remove-duplicate-detectionsを併用したりすることはできない。(#1254) (@hach1yon @hitenkoku)

改善:

  • 未使用のクレートを削除した。(@YamatoSecurity)
  • SplunkからエクスポートしたJSONファイルの入力に対応した。 (#1083) (@hitenkoku)
  • パフォーマンスの改善 (#1277, #1278) (@fukusuket)
  • csv-timelineコマンドの結果と同様になるようにするために、searchコマンドの結果の表示順番を変更した。 (#1297) (@hitenkoku)
  • イースターエッグに最強のキャラクターを追加した。 (#1304) (@hitenkoku)
  • computer-metricsコマンドのhelpオプションの表示をほかのコマンドの形式に合わせた。 (#1314) (@hitenkoku)

バグ修正:

  • search コマンドのJSON出力でAllFieldInfoフィールドの情報が出力されなくなっていたのを修正した。 (#1251) (@hitenkoku)
  • ウィザードのオプション選択の時間が処理時間の中に含まれていたため除外した。 (#1291) (@hitenkoku)
  • -h, --helpオプションが重複して複数回表示されていた問題を修正した。 (#1309) (@hitenkoku)

v2.13.0 🦅

11 Feb 01:50
6779465
Compare
Choose a tag to compare

2.13.0 [2024/02/11] "Year Of The Dragon Release"

Enhancements:

  • Adjusted the search command's Filter option to be an exact match and support wildcard characters. (#1240) (@hitenkoku)
  • Any time there is a change in a detection rule, it will be displayed when running the update-rules command. Previously, only rules that updated their modified field would be displayed. (#1243) (@hitenkoku)
  • The json-timeline command now outputs in JSON format when outputting to the terminal. (#1197) (@hitenkoku)
  • Added support for parsing JSON input when the data is inside an array. (#1248) (@hitenkoku)
  • Changed the separator into a · separator to make it easier to read and render properly on older terminals. (#1258) (@YamatoSecurity)
  • Added a -h, --help option to General Options for all commands. (#1255) (@hitenkoku)
  • Changed the Details output in the json-timeline command from alphabetical order to the original order.
  • Loading detection rules is now skipped when running commands that do not need them. (#1263) (@hitenkoku)
  • Improved the standard output colors in the csv-timeline command. (#1271) (@hitenkoku)
  • Refactoring and performance enhancements. (#1268, #1260) (@hach1yon)

Bug Fixes:

  • Removed newline characters in the search command output. (#1253) (@hitenkoku)
  • Fixed the progress bar and wizard colored output when the --no-color option is used. (#1256) (@hitenkoku)
  • Fixed a panic when the local timezone was not able to be identified. This was fixed in the chrono crate version 0.4.32. (#1273)

改善:

  • search コマンドのフィルタオプションを完全一致にするようにした。加えてフィルタオプションはワイルドカード対応をするようにした。 (#1240) (@hitenkoku)
  • update-rulesコマンドを実行したときに、検知ルールが変更された場合にルール名を出力するようにした。以前はmodifiedフィールドを更新したルールだけが表示されていた。(#1243) (@hitenkoku)
  • json-timelineコマンドの標準出力でJSONフォーマットを出力するように修正した。 (#1197) (@hitenkoku)
  • JSON入力でデータが配列内にある場合に解析できるようにした。 (#1248) (@hitenkoku)
  • 古いターミナルでも正しく表示されるように、また読みやすくするために、区切り文字を·区切り文字に変更した。(#1258) (@YamatoSecurity)
  • General Optionsに-h, --helpオプションを追加した。 (#1255) (@hitenkoku)
  • json-timelineコマンドのDetailsの出力で、要素がアルファベット順に並んでいたのをルールに記載されているオリジナルの順番に変更した。 (#1264) (@hitenkoku)
  • ルールをロードする必要のないコマンドを実行した場合、検出ルールのロードをスキップするようにした。 (#1263) (@hitenkoku)
  • csv-timelineコマンドの標準出力のカラー出力ルールを変更した。 (#1271) (@hitenkoku)
  • リファクタリングとパフォーマンスの改善。(#1268, #1260) (@hach1yon)

バグ修正:

  • searchコマンドの出力に入っている不要な改行文字を削除した。 (#1253) (@hitenkoku)
  • no-colorオプション使用時のプログレスバーとウィザードのカラー出力を修正した。 (#1256) (@hitenkoku)
  • ローカルのタイムゾーンを特定できない場合にパニックが発生する問題を修正した。chronoクレートのバージョン0.4.32で修正された。(#1273)

v2.12.0 🦅

23 Dec 08:27
172703c
Compare
Choose a tag to compare

2.12.0 [2023/12/23] "SECCON Christmas Release"

Enhancements:

  • %MitreTactics%, %MitreTags%, %OtherTags% fields are now outputted as an array of strings in JSON output. (#1230) (@hitenkoku)
  • Added a summary of MITRE ATT&CK tactics that were detected for each computer in the HTML report. In order to use this feature, you need to use a profile that includes the %MitreTactics% field. (#1226) (@hitenkoku)
  • Output messages about reporting issues and false positives when using csv-timeline or json-timeline commands. (#1236) (@hitenkoku)

Bug Fixes:

  • In JSON output, multiple field names with the same names were not outputted as an array so only one result would be returned when parsing with jq. We fixed this by outputting multiple field data with the same field name inside an array. (#1202) (@hitenkoku)
  • Fixed a bug in the csv-timeline, json-timeline, eid-metrics, logon-summary, pivot-keywords-list and search commands so that Hayabusa will quit whenever no input option (-l, -f or -d) is specified. (#1235) (@hitenkoku)

改善:

  • JSON出力において、MitreTactics、MitreTags, OtherTagsの出力を要素ごとに文字列で出力させるように修正した。 (#1230) (@hitenkoku)
  • 検知した端末に対してMITRE ATT&CKの戦術をHTMLレポートに出力できるようにした。この機能を利用するためには利用したプロファイルに%MitreTactics%が存在する必要がある。 (#1226) (@hitenkoku)
  • csv-timelineまたはjson-timelineコマンドが利用されたときにissueやpull-requestの連絡先についてのメッセージを追加した。 (#1236) (@hitenkoku)

バグ修正:

  • JSON出力において、同じ名前の複数のフィールド名が配列として出力されないため、jqでパースすると1つの結果しか返されなかった。同じフィールド名を持つ複数のフィールドデータを配列内に出力することで修正した。 (#1202) (@hitenkoku)
  • csv-timelinejson-timelineeid-metricslogon-summarypivot-keywords-listsearchコマンドで調査対象ファイルの指定オプション(-l-f-d)が存在しないときに処理が実行されないように修正した。 (#1235) (@hitenkoku)