Releases: Yamato-Security/hayabusa
Releases · Yamato-Security/hayabusa
v3.0.0 🦅
3.0.0 [2024/12/25] - 3rd Year Anniversary Release
New Features:
- New
extract-base64
command to extract and decode base64 strings from events. (#1512) (@fukusuket) - New
expand-list
command to output placeholder names used for rules with theexpand
modifier. (#1513) (@fukuseket) - Support for
expand
field modifiers. (#1434) (@fukusuket) - Support for Temporal Proximity (
temporal
) correlation rules. (#1446) (@fukusuket) - Support for Temporal Ordered Proximity (
temporal_ordered
) correlation rules. (#1447) (@fukusuket)
Enhancements:
- Log file size added to
log-metrics
command. (#1528) (@fukusuket)
Bug Fixes:
- Sorting with
csv-timeline
was not done perfectly when record IDs were outputted. (#1519) (@fukusuket) -J, --JSON-input
would only accept.json
files, not.jsonl
files so now both are supported. (#1530) (@fukusuket)
新機能:
- Base64文字列を抽出して、デコードする
extract-base64
コマンドを追加した。(#1512) (@fukusuket) expand
修飾子が入っているルールで使用されるプレースホルダー名を出力するexpand-list
コマンドを追加した。(#1513) (@fukuseket)expand
フィールド修飾子に対応した。 (#1434) (@fukusuket)- Temporal Proximity(
temporal
)の相関ルールに対応した。 (#1446) (@fukusuket) - Temporal Ordered Proximity (
temporal_ordered
) の相関ルールに対応した。 (#1447) (@fukusuket)
改善:
log-metrics
コマンドにファイルサイズを追加した。 (#1528) (@fukusuket)
バグ修正:
- レコードIDが出力されるとき、
csv-timeline
によるソートが完璧に行われなかった。 (#1519) (@fukusuket) J, --JSON-input
は、.json
ファイルしか対応していなかったので、.jsonl
ファイルにも対応した。 (#1530) (@fukusuket)
v2.19.0 🦅
2.19.0 [2024/11/26] "Every Day Is A Good Day Release"
New Features:
- Support for the
gt
,gte
,lt
,lte
field modifiers. (#1433) (@fukusuket) - New
log-metrics
command to get information about.evtx
files. (computer names, event count, first timestamp, last timestamp, channels, providers) (#1474) (@fukusuket) - New
-b, --disable-abbreviations
options for the following commands to disableChannel
andProvider
abbreviations for when you want to check the original values. (#1485) (@fukusuket)csv-timeline
json-timeline
eid-metrics
log-metrics
search
- Support for
utf16/utf16be/utf16le/wide
field modifiers to be used with thebase64offset|contains
field modifier. (#1432) (@fukusuket)utf16|base64offset|contains
utf16be|base64offset|contains
utf16le|base64offset|contains
wide|base64offset|contains
Enhancements:
- Updated the
yaml-rust
crate toyaml-rust2
. (#461) (@YamatoSecurity) windash
characters are now being dynamically read fromrules/config/windash_characters.txt
. (#1440) (@fukusuket)logon-summary
command now displays logon information from RDP events. Note: Hayabusa will output more detailed information when saving to a file. (#1468) (@fukusuket)- The colors were updated to make it easier to read. (#1480) (@YamatoSecurity)
- Added start and finish messages of the day. (#1492) (@fukusuket)
- New color scheme added to output. (#1491) (@fukusuket)
- File size is now displayed next to the file name under the progress bar. (#1471) (@fukusuket)
Bug Fixes:
logon-summary
command would sometimes crash with corrupted logs. (#1477) (@fukusuket)- Some results would be displayed after the progress bar when outputting results to the terminal with
csv-timeline
andjson-timeline
. (#1459) (@fukusuket) - The detailed field value results in aggregation rule alerts were not sorted so
csv-timeline
andjson-timeline
would not output completely exact results each time. (#1466) (@fukusuket) - Updated
hayabusa-evtx
crate to0.8.12
. (@YamatoSecurity) logon-summary
andeid-metrics
would sometimes output multiple progress bars. #1479 (@fukusuket)- The progress bar has been removed when outputting to terminal and not sorting events as is unneeded. #1508 (@fukusuket)
Other:
- The
--timeline-offset
option has been renamed to--time-offset
. (#1490) (@YamatoSecurity)
新機能:
gt
、gte
、lt
、lte
のフィールドモディファイアに対応した。(#1433) (@fukusuket)- 新しい
log-metrics
コマンドで.evtx
ファイルの情報を取得できるようになった。(コンピュータ名、イベント数、最初のタイムスタンプ、最後のタイムスタンプ、チャネル、プロバイダ) (#1474) (@fukusuket) - 以下のコマンドに
Channel
とProvider
の略称を無効にする-b, --disable-abbreviations
オプションを追加した。元の値を確認したい時に便利。 (#1485) (@fukusuket)csv-timeline
json-timeline
eid-metrics
log-metrics
search
utf16/utf16be/utf16le/wide
フィールドモディファイアがbase64offset|contains
フィールドモディファイアと一緒に使えるようになった。 (#1432) (@fukusuket)utf16|base64offset|contains
utf16be|base64offset|contains
utf16le|base64offset|contains
wide|base64offset|contains
改善:
yaml-rust
クレートをyaml-rust2
に更新した。(#461) (@YamatoSecurity)windash
文字が、rules/config/windash_characters.txt
から動的に読み込まれるようになった。(#1440) (@fukusuket)logon-summary
コマンドがRDPイベントからのログオン情報を表示するようになった。注意: ファイルに保存する場合、Hayabusaはより詳細な情報を出力する。(#1468) (@fukusuket)- 見やすくなるように色を更新した。 (#1480) (@YamatoSecurity)
- 実行開始と終了のメッセージを出力するようにした。 (#1492) (@fukusuket)
- 出力に新しい配色を追加した。 (#1491) (@fukusuket)
- ファイルサイズがプログレスバーの下のファイル名の横に表示されるようになった。 (#1471) (@fukusuket)
バグ修正:
- logon-summary`コマンドが破損したログでクラッシュすることがあった。(#1477) (@fukusuket)
csv-timeline
とjson-timeline
コマンドで、結果をターミナルに出力すると、プログレスバーの後にいくつかの結果が表示されていた。(#1459) (@fukusuket)- 集計ルールのアラートの詳細フィールド値の結果がソートされていないため、
csv-timeline
とjson-timeline
は、毎回完全に正確な結果を出力しなかった。 (#1466) (@fukusuket) hayabusa-evtx
クレートをバージョン0.8.12
に更新した。(@YamatoSecurity)logon-summary
とeid-metrics
が複数のプログレスバーを出力することがあった。 #1479 (@fukusuket)- ターミナルに出力し、イベントをソートしない場合、プログレスバーは不要なため削除された。 #1508 (@fukusuket)
その他:
timeline-offset
オプションは、--time-offset
に名前変更された。 (#1490) (@YamatoSecurity)
v2.18.0 🦅
2.18.0 [2024/10/23] "Sector Release"
New Features:
- Support for the
fieldref
modifier (alias to theequalsfield
modifier). (#1409) (@hitenkoku) - The
fieldref|endswith
modifier was created as an alias toendswithfield
to replace it in the future. (#1437) (@fukusuket) - Support for
fieldref|startswith
andfieldref|contains
modifiers. (#1439) (@fukusuket) - Support for XOR encoded rules to minimize files put on the system as well as bypass anti-virus products that give false positives on rules. (#1419) (@fukusuket)
- We will include packages in the Releases page that are already configured to use this. If you wanted to manually configure this though, download encoded_rules.yml and place it in the Hayabusa's root folder. This file is created from the rules in the hayabusa-rules repository and is automatically updated anytime there is a rule update. Delete all of the files inside the
rules
folder except for theconfig
directory as those files are not yet contained in a single file. - Note: The report generated by the
-H
option cannot create a link to the rule (only the rule name is outputted.) rules/config
config files are now loaded from a single file rules_config_files.txt to reduce the number of files needed to be stored on a target system for live response. (#1420) (@fukusuket)
- We will include packages in the Releases page that are already configured to use this. If you wanted to manually configure this though, download encoded_rules.yml and place it in the Hayabusa's root folder. This file is created from the rules in the hayabusa-rules repository and is automatically updated anytime there is a rule update. Delete all of the files inside the
Bug Fixes:
- Unneeded line breaks when using
-o
in thesearch
command. (#1425) (@fukusuket) - Sigma correlation rules required the
group-by
field but now it is optional. (#1442) (@fukusuket) - Hayabusa will give an error message if the rules referenced by a correlation rule are not found. (#1444) (@fukusuket)
- Field information was not being outputted when the
all-field-info
profiles were used. (#1450) (@fukusuket)
Other:
- License is changed from GPL-3.0 to AGPL-3.0. (@YamatoSecurity)
新機能:
fieldref
モディファイア(equalsfield
モディファイアのエリアス)に対応した。(#1409) (@hitenkoku)fieldref|startswith
とfieldref|contains
モディファイアに対応した。 (#1439) (@fukusuket)fieldref|endswith
モディファイアは、endswithfield
をリプレースするためのエイリアスとして作成された。(#1437) (@fukusuket)- XORエンコードされたルールをサポートし、端末に置かれるファイルを最小限に抑えるとともに、ルールに過検知するアンチウイルス製品を回避する。(#1419) (@fukusuket)
- リリースページで、この機能を設定済みのパッケージを含める予定。手動で設定したい場合は、encoded_rules.ymlをダウンロードして、Hayabusaのルートフォルダに置いてください。このファイルは、hayabusa-rulesリポジトリ内のルールから作成されており、ルールが更新されるたびに自動的にアップデートされる。configディレクトリ以外のrulesフォルダ内のファイルは、まだ単一ファイルに含まれていないので削除してください。
- 注意: -Hオプションで生成されるレポートは、ルールへのリンクを作成せず、ルール名だけが出力される。
rules/config
の設定ファイルが単一のファイルrules_config_files.txtからロードされるようになり、ライブ調査のためにターゲットシステムに保存する必要があるファイル数が減った。(#1420) (@fukusuket)
バグ修正:
search
コマンドの-o
オプションを使用した際に不要な改行が出力されていた。(#1425) (@fukusuket)- Sigma相関ルールの
group-by
フィールドは、必須だったが任意に変えた。(#1442) (@fukusuket) - Hayabusaは、相関ルールで参照されているルールが見つからない場合、エラーメッセージを表示するようにした。 (#1444) (@fukusuket)
all-field-info
プロファイルを使用した場合、フィールド情報が出力されなかった。 (#1450) (@fukusuket)
その他:
- ライセンスをGPL-3.0からAGPL-3.0に変えた。(@YamatoSecurity)
v2.17.0 🦅
2.17.0 [2024/08/23] "HITCON Release"
Note: the hayabusa-2.17.0-win-x64-embedded-config.zip
binary has its config files embedded into the binary to reduce the number of files. This is intended for when Hayabusa is used for live analysis or used with Velociraptor.
New Features:
- Support for the Sigma V2
|re:
submodifers. (#1399) (@fukusuket)- Reference: https://github.com/SigmaHQ/sigma-specification/blob/main/appendix/sigma-modifiers-appendix.md
|re|i:
: (insensitive) disable case-sensitive matching.|re|m:
: (multi-line) match across multiple lines.^
/$
match the start/end of line.|re|s:
: (single-line) the dot character (.
) matches all characters, including the newline character.
- Reference: https://github.com/SigmaHQ/sigma-specification/blob/main/appendix/sigma-modifiers-appendix.md
- Support for the Sigma V2
|exists:
modifier. (#1400) (@hitenkoku) - Support for the Sigma V2
|cased:
modifier. (#1401) (@hitenkoku)
Enhancements:
- Support for the newer version 0.6.x
cidr-utils
crate. (#1366) (@hitenkoku) - Added support for Sigma correlation rule's
name
lookup. (#1363) (@fukusuket) - Enabled low memory mode by default.
-s, --low-memory-mode
is now-s, --sort-events
- Sort events before outputting results. (warning: this uses much more memory!). (#1361) (@hitenkoku)- Note: you need to enable sorting in order to use
-R, --remove-duplicate-data
and-X, --remove-duplicate-detections
.
- Note: you need to enable sorting in order to use
- Sigma correlation reference rules now do not output alerts by default. You can enable them by adding
generate: true
to the rule. (#1367) (@fukusuket) Data
fields are now displayed as indexed strings instead of as allData
fields or in an array for JSON. (#1371) (@fukusuket)- Before:
"Data": ["17514", "Multiprocessor Free", "Service Pack 1"]
- After:
"Data[3]": "17514", "Data[4]": "Multiprocessor Free", "Data[5]": "Service Pack 1"
- Before:
- The configuration files in the
config
folder are now also embedded in the binary to reduce the number of files in the release package. (#1370) (@hitenkoku)- Note: you will not be able to run the
set-default-profile
command without theconfig
directory files as it relies onconfig/default_profile.yaml
.
- Note: you will not be able to run the
- Aggregation rule alerts now show
Channel
andEventID
information even when there are multiple results. (#1342) (@fukusuket) - In the JSON timeline, when there is no information in the
Details
field, we changed the default output of"-"
to{}
in order to make parsing easier. (#1386) (@hitenkoku) - Added support for the
–
(en dash),—
(em dash), and―
(horizontal bar) characters for thewindash
modifier to prevent signature bypass. (#1392) (@hitenkoku) - Updated the MITRE ATT&CK tags to support Sigma version 2 format. (Ex:
defense_evasion
=>defense-evasion
) (@fukusuket) - Updated the
evtx
crate to the latest for enhancements and bug fixes.
Bug Fixes:
- Sigma correlation rule count was not showing up in
Events with hits
. (#1373) (@fukusuket) - Correlation rule count was not showing up in
Events with hits
. (#1374) (@fukusuket) - Aggregation condition rule count was not showing up in
Events with hits
. (#1375) (@fukusuket) - In rare cases, the list of rule authors would not be displayed to the terminal. (#1383) (@fukusuket)
新機能:
- Sigma V2の
|re:
のサブモディファイアに対応した。 submodifers. (#1399) (@fukusuket)- 参考: https://github.com/SigmaHQ/sigma-specification/blob/main/appendix/sigma-modifiers-appendix.md
|re|i:
: (insensitive) 大文字小文字を区別しないマッチングを無効にする。|re|m:
: (multi-line) 複数行にまたがってマッチする。^
/$
は行頭/行末にマッチする。|re|s:
: (single-line) ドット文字 (.
) は改行文字を含むすべての文字にマッチする。
- 参考: https://github.com/SigmaHQ/sigma-specification/blob/main/appendix/sigma-modifiers-appendix.md
- Sigma V2の
|exists:
モディファイアに対応した。 (#1400) (@hitenkoku) - Sigma V2の
|cased:
モディファイアに対応した。 (#1401) (@hitenkoku)
改善:
cidr-utils
クレートを新バージョン0.6.xに対応した。 (#1366) (@hitenkoku)- Sigma相関ルールの
name
ルックアップに対応した。 (#1363) (@fukusuket) - デフォルトで低メモリモードを有効にした。
-s, --low-memory-mode
は、-s, --sort-events
- 出力/保存する前に結果をソートする。(注意: より多くのメモリを消費する。)(#1361) (@hitenkoku)- 注意:
-R, --remove-duplicate-data
または-X, --remove-duplicate-detections
を使用するには、ソートを有効にする必要がある。
- 注意:
- Sigma相関ルールが参照しているルールは、デフォルトで結果を出力しないようにした。ルールに
generate: true
を指定すると、出力される。 (#1367) (@fukusuket) Data
フィールドは、すべてData
フィールドとして、またはJSONの配列としてではなく、インデックス化された文字列として表示されるようになった。(#1371) (@fukusuket)- 前:
"Data": ["17514", "Multiprocessor Free", "Service Pack 1"]
- 後:
"Data[3]": "17514", "Data[4]": "Multiprocessor Free", "Data[5]": "Service Pack 1"
- 前:
- リリースパッケージのファイル数を減らすために、
config
フォルダ内の設定ファイルもバイナリに埋め込まれるようにした。 (#1370) (@hitenkoku)- 注意:
set-default-profile
コマンドは、config/default_profile.yaml
に依存しているので、config
ディレクトリファイルがないと実行できない。
- 注意:
- 集計ルールのアラートに、複数の結果がある場合でも
Channel
とEventID
の情報が表示されるようにした。 (#1342) (@fukusuket) - JSONタイムラインで
Details
フィールドに情報がない場合、JSONがパースしやすくなるように、デフォルトで出力される"-"
を{}
に変更した。(#1386) (@hitenkoku) - シグネチャーバイパスを防ぐため、
-
(エンダッシュ)、-
(エムダッシュ)、―
(水平バー) 文字をwindash
修飾子でサポートするようにした。(#1392) (@hitenkoku) - MITRE ATT&CKタグをSigmaバージョン2の形式に対応させた。(例:
defense_evasion
=>defense-evasion
) (@fukusuket) evtx
クレートを最新のものに更新し、機能改善とバグ修正を行った。
バグ修正:
- Sigmaの相関ルールのカウントが
Events with hits
に表示されていなかった。(#1373) (@fukusuket) - 相関ルールのカウントが
Events with hits
に表示されていなかった。(#1374) (@fukusuket) - 集計ルールのカウントが
Events with hits
に表示されていなかった。(#1375) (@fukusuket) - まれに、ルール作成者の一覧が表示されないことがあった。 (#1383) (@fukusuket)
v2.16.1
This release is the same as v2.16.0 with updated rules as of August 2nd, 2024. We are re-releasing just the Windows packages because Windows defender was giving false positive alerts on certain rules. We have temporarily removed those rules so you should not receive false positives on rules anymore. If you do, please create a GitHub issue and tell us the path of the offending rules.
v2.16.0 🦅
2.16.0 [2024/06/11] "FIRSTCON24 Release"
New Features:
- By default now, only rules that are applicable to loaded evtx files will be enabled. This is based on the
Channel
field in.evtx
file and.yml
rule. For example, ifSecurity.evtx
was being scanned, then only rules that haveChannel: Security
defined will be used against this file. In our benchmarks, this usually gives a speed benefit of around 20% when scanning singleevtx
files but can give up a 10x speed performance depending on the file. If you think there are multiple channels being used in a single.evtx
file or you want to use rules that do not have theChannel
field defined in order to scan all.evtx
files regardless of the channel, then you can turn off this filtering with the-A, --enable-all-rules
option incsv-timeline
andjson-timeline
. (#1317) (@fukusuket)- Currently, the only two detection rules that do not have
Channel
defined and are intended to scan all.evtx
files are the following:
- Currently, the only two detection rules that do not have
- By default now,
.evtx
files that have applicable rules will be loaded. So for example, if you are scanning a directory of various event logs but only enable a rule that is looking forChannel: Security
then Hayabusa will ignore all non-security event logs. In our benchmarks, this gives a speed benefit of around 10% with normal scans and up to 60%+ performance increase when scanning with a single rule. If you want to load all.evtx
files regardless of channel, then you can turn off this filtering with the-a, --scan-all-evtx-files
option incsv-timeline
andjson-timeline
. (#1318) (@fukusuket) - Note: Channel filtering only works with .evtx files and you will receive an error if you try to load event logs from a JSON file with
-J, --json-input
and also specify-A
or-a
. (#1345) (@fukusuket) - Support for Sigma Correlation's Event Count. (#1337) (@fukusuket)
- Support for Sigma Correlation's Value Count. (#1338) (@fukusuket)
Enhancements:
- You can now specify multiple directories with the
-d, --directory
option. (#1335) (@hitenkoku) - You can now analyze Splunk logs exported from the REST API. (#1083) (@hitenkoku)
- You can now specify multiple groups with
count
. Ex:count() by IpAddress,SubStatus,LogonType >= 2
Also, the output has been updated. Ex:[condition] count(TargetUserName) by IpAddress > 3 in timeframe [result] count: 4 TargetUserName:tanaka/Administrator/adsyncadmin/suzuki IpAddress:- timeframe:5m
->Count: 4 ¦ TargetUserName: tanaka/Administrator/adsyncadmin/suzuki ¦ IpAddress: -
(#1339) (@fukusuket) - Added support for specifying an optional
Provider_Name
field in field data mapping files (rules/config/data_mapping/*.yaml
) as well as support forData[x]
notation. (#1350) (@fukusuket) - JSON output in count rules now separates field information. (#1342) (@fukusuket)
- Before:
"Details": "[condition] count() by IpAddress >= 5 in timeframe [result] count:3558 IpAddress:192.168.198.149 timeframe:5m"
- After:
"Details": { "Count": 3558, "IpAddress": "192.168.198.149" }
- Before:
新機能:
- デフォルトでは、
.evtx
ファイルに適用可能なルールのみ有効になる。これは、.evtx
ファイルと.yml
ルールのChannel
フィールドに基づく。例えば、Security.evtx
がスキャンされている場合、Channel: Security
が定義されているルールのみがこのファイルに対して使用される。ベンチマークでは、単一のevtx
ファイルをスキャンする場合、パフォーマンスが約20%向上される。1つの.evtx
ファイルで複数のチャネルが使用されている場合や、チャネルが定義されていないルールを使用して、チャネルに関係なくすべての.evtx
ファイルをスキャンしたい場合は、csv-timeline
とjson-timeline
の-A、--enable-all-rules
オプションでこのフィルタリングをオフにすることができる。(#1317)(@fukusuket)- 現在のところ、
Channel
が定義されておらず、すべての.evtx
ファイルをスキャンすることを意図している検知ルールは以下の2つだけ:
- 現在のところ、
- デフォルトでは、適用可能なルールを持つ
.evtx
ファイルのみ読み込む。たとえば、さまざまなイベントログのディレクトリをスキャンしている場合でも、Channel: Security
を探すルールのみを有効にした場合、HayabusaはSecurity
以外のすべてのイベントログを無視します。ベンチマークでは、通常のスキャンで約10%、単一のルールでスキャンする場合は最大60%以上のパフォーマンス向上が得られる。チャネルに関係なくすべての.evtx
ファイルを読み込みたい場合は、csv-timeline
とjson-timeline
の-a、--scan-all-evtx-files
オプションでこのフィルタリングをオフにすることができる。(#1318) (@fukusuket) - 注意: チャンネルフィルタリングは .evtx ファイルにのみ適用され、
-J, --json-input
オプションを使用してイベントログをJSONファイルから読み込む際に-A
または-a
を指定するとエラーが発生する。(#1345) (@fukusuket) - Sigma CorrelationのEvent Countに対応した。 (#1337) (@fukusuket)
- Sigma CorrelationのValue Countに対応した。 (#1338) (@fukusuket)
改善:
-d, --directory
オプションで複数のフォルダを指定できるようにした。 (#1335) (@hitenkoku)- REST APIからエクスポートされたSplunkログを分析できるようになった。 (#1083) (@hitenkoku)
count
で複数のグループを指定できるようにした。例:count() by IpAddress,SubStatus,LogonType >= 2
。また、出力される結果を更新した。例:[condition] count(TargetUserName) by IpAddress > 3 in timeframe [result] count: 4 TargetUserName:tanaka/Administrator/adsyncadmin/suzuki IpAddress:- timeframe:5m
->Count: 4 ¦ TargetUserName: tanaka/Administrator/adsyncadmin/suzuki ¦ IpAddress: -
(#1339) (@fukusuket)- フィールドデータマッピングファイル(
rules/config/data_mapping/*.yaml
)で任意のProvider_Name
フィールドを指定できるようにし、Data[x]
表記に対応した。(#1350) (@fukusuket) - カウントルールのJSON出力で、フィールド情報が分離されるようになった。 (#1342) (@fukusuket)
- 以前:
"Details": "[condition] count() by IpAddress >= 5 in timeframe [result] count:3558 IpAddress:192.168.198.149 timeframe:5m"
- 現在:
"Details": { "Count": 3558, "IpAddress": "192.168.198.149" }
- 以前:
v2.15.0 🦅
2024/06/05 Update
- I updated the detections rules so that they do not include two rules that cause false positives for Windows Defender for the Windows 65 bit package:
hayabusa-2.15.0-win-x64-r2.zip
(@YamatoSecurity)
2.15.0 [2024/04/20] "Sonic Release"
Enhancements:
- Added support for
windash
field modifier (ex.|contains|windash:
,|contains|all|windash:
) in sigma rules. (#1319) (@hitenkoku)- https://sigmahq.io/docs/basics/modifiers.html#windash
- Note: currently on the backend we convert the use of
windash
in rules so they are compatibile with previous versions of Hayabusa, however, around the end of May we will start to keep the use ofwindash
as-is so please update to this version before then or else you will recieve rule parsing errors if you update rules.
Bug Fixes:
-T
detection frequency timeline was not usable in version 2.14.0. (#1322) (@fukusuket)- Fixed
windash
not working when there is a wildcard. (#1327) (@hitenkoku)
改善:
- Sigmaルールの
windash
フィールド修飾子 (例:|contains|windash:
と|contains|all|windash:
)に対応した。 (#1319) (@hitenkoku)- https://sigmahq.io/docs/basics/modifiers.html#windash
- 注意: 現在、バックエンドでは、以前のバージョンのHayabusaと互換性があるようにルール内の
windash
の使用を変換しているが、5月末ごろには、windash
の使用をそのままにする予定なので、それまでにこのバージョンにアップデートしてください。
バグ修正:
- バージョン2.14.0では、
-T
の検知頻度タイムライン出力は使用できなかった。 (#1322) (@fukusuket) windash
でワイルドカードが利用できない問題を修正した。 (#1327) (@hitenkoku)
v2.14.0 🦅
2.14.0 [2024/03/30] "BSides Tokyo Release"
New Features:
- Added
--include-status
option: You can specify rules based on theirstatus
. (#1193) (@hitenkoku) - Added a
-s, --low-memory-mode
option that uses up to 95% less memory. However, in order to do this, Hayabusa cannot sort results nor use-R, --remove-duplicate-data
and/or-X, --remove-duplicate-detections
in combination. (#1254) (@hach1yon @hitenkoku)
Enhancements:
- Removed unused crates. (@YamatoSecurity)
- JSON input now supports the format exported from Splunk. (#1083) (@hitenkoku)
- Performance enchancements. (#1277, #1278) (@fukusuket)
- Reordered
search
result fields to look similar to thecsv-timeline
command results. (#1297) (@hitenkoku) - Added master piece character in ascii art eggs. R.I.P. lovely master hidden behind the gas mask. (#1304) (@hitenkoku)
- Unified help option format in
computer-metrics
command with other commands. (#1314) (@hitenkoku)
Bug Fixes:
- JSON output of the
search
command was missing theAllFieldInfo
field. (#1251) (@hitenkoku) - The time the user took to choose options in the scan wizard was included in elapsed time so we now exclude that. (#1291) (@hitenkoku)
- Fixed
-h, --help
option is being displayed multiple times. (#1309) (@hitenkoku)
新機能:
- 指定した
status
のルールのみを利用する--include-status
オプションを追加した。 (#1193) (@hitenkoku) - メモリ使用量を最大95%削減する
-s, --low-memory-mode
(低メモリモード)オプションを追加した。ただし、そのためには結果をソートしたり、-R, --remove-duplicate-data
または-X, --remove-duplicate-detections
を併用したりすることはできない。(#1254) (@hach1yon @hitenkoku)
改善:
- 未使用のクレートを削除した。(@YamatoSecurity)
- SplunkからエクスポートしたJSONファイルの入力に対応した。 (#1083) (@hitenkoku)
- パフォーマンスの改善 (#1277, #1278) (@fukusuket)
csv-timeline
コマンドの結果と同様になるようにするために、search
コマンドの結果の表示順番を変更した。 (#1297) (@hitenkoku)- イースターエッグに最強のキャラクターを追加した。 (#1304) (@hitenkoku)
computer-metrics
コマンドのhelpオプションの表示をほかのコマンドの形式に合わせた。 (#1314) (@hitenkoku)
バグ修正:
search
コマンドのJSON出力でAllFieldInfo
フィールドの情報が出力されなくなっていたのを修正した。 (#1251) (@hitenkoku)- ウィザードのオプション選択の時間が処理時間の中に含まれていたため除外した。 (#1291) (@hitenkoku)
-h, --help
オプションが重複して複数回表示されていた問題を修正した。 (#1309) (@hitenkoku)
v2.13.0 🦅
2.13.0 [2024/02/11] "Year Of The Dragon Release"
Enhancements:
- Adjusted the
search
command's Filter option to be an exact match and support wildcard characters. (#1240) (@hitenkoku) - Any time there is a change in a detection rule, it will be displayed when running the
update-rules
command. Previously, only rules that updated theirmodified
field would be displayed. (#1243) (@hitenkoku) - The
json-timeline
command now outputs in JSON format when outputting to the terminal. (#1197) (@hitenkoku) - Added support for parsing JSON input when the data is inside an array. (#1248) (@hitenkoku)
- Changed the
‖
separator into a·
separator to make it easier to read and render properly on older terminals. (#1258) (@YamatoSecurity) - Added a
-h, --help
option to General Options for all commands. (#1255) (@hitenkoku) - Changed the
Details
output in thejson-timeline
command from alphabetical order to the original order. - Loading detection rules is now skipped when running commands that do not need them. (#1263) (@hitenkoku)
- Improved the standard output colors in the
csv-timeline
command. (#1271) (@hitenkoku) - Refactoring and performance enhancements. (#1268, #1260) (@hach1yon)
Bug Fixes:
- Removed newline characters in the
search
command output. (#1253) (@hitenkoku) - Fixed the progress bar and wizard colored output when the
--no-color
option is used. (#1256) (@hitenkoku) - Fixed a panic when the local timezone was not able to be identified. This was fixed in the
chrono
crate version 0.4.32. (#1273)
改善:
search
コマンドのフィルタオプションを完全一致にするようにした。加えてフィルタオプションはワイルドカード対応をするようにした。 (#1240) (@hitenkoku)update-rules
コマンドを実行したときに、検知ルールが変更された場合にルール名を出力するようにした。以前はmodified
フィールドを更新したルールだけが表示されていた。(#1243) (@hitenkoku)json-timeline
コマンドの標準出力でJSONフォーマットを出力するように修正した。 (#1197) (@hitenkoku)- JSON入力でデータが配列内にある場合に解析できるようにした。 (#1248) (@hitenkoku)
- 古いターミナルでも正しく表示されるように、また読みやすくするために、
‖
区切り文字を·
区切り文字に変更した。(#1258) (@YamatoSecurity) - General Optionsに
-h, --help
オプションを追加した。 (#1255) (@hitenkoku) json-timeline
コマンドのDetails
の出力で、要素がアルファベット順に並んでいたのをルールに記載されているオリジナルの順番に変更した。 (#1264) (@hitenkoku)- ルールをロードする必要のないコマンドを実行した場合、検出ルールのロードをスキップするようにした。 (#1263) (@hitenkoku)
csv-timeline
コマンドの標準出力のカラー出力ルールを変更した。 (#1271) (@hitenkoku)- リファクタリングとパフォーマンスの改善。(#1268, #1260) (@hach1yon)
バグ修正:
search
コマンドの出力に入っている不要な改行文字を削除した。 (#1253) (@hitenkoku)no-color
オプション使用時のプログレスバーとウィザードのカラー出力を修正した。 (#1256) (@hitenkoku)- ローカルのタイムゾーンを特定できない場合にパニックが発生する問題を修正した。
chrono
クレートのバージョン0.4.32で修正された。(#1273)
v2.12.0 🦅
2.12.0 [2023/12/23] "SECCON Christmas Release"
Enhancements:
%MitreTactics%
,%MitreTags%
,%OtherTags%
fields are now outputted as an array of strings in JSON output. (#1230) (@hitenkoku)- Added a summary of MITRE ATT&CK tactics that were detected for each computer in the HTML report. In order to use this feature, you need to use a profile that includes the
%MitreTactics%
field. (#1226) (@hitenkoku) - Output messages about reporting issues and false positives when using
csv-timeline
orjson-timeline
commands. (#1236) (@hitenkoku)
Bug Fixes:
- In JSON output, multiple field names with the same names were not outputted as an array so only one result would be returned when parsing with
jq
. We fixed this by outputting multiple field data with the same field name inside an array. (#1202) (@hitenkoku) - Fixed a bug in the
csv-timeline
,json-timeline
,eid-metrics
,logon-summary
,pivot-keywords-list
andsearch
commands so that Hayabusa will quit whenever no input option (-l
,-f
or-d
) is specified. (#1235) (@hitenkoku)
改善:
- JSON出力において、MitreTactics、MitreTags, OtherTagsの出力を要素ごとに文字列で出力させるように修正した。 (#1230) (@hitenkoku)
- 検知した端末に対してMITRE ATT&CKの戦術をHTMLレポートに出力できるようにした。この機能を利用するためには利用したプロファイルに
%MitreTactics%
が存在する必要がある。 (#1226) (@hitenkoku) csv-timeline
またはjson-timeline
コマンドが利用されたときにissueやpull-requestの連絡先についてのメッセージを追加した。 (#1236) (@hitenkoku)
バグ修正:
- JSON出力において、同じ名前の複数のフィールド名が配列として出力されないため、
jq
でパースすると1つの結果しか返されなかった。同じフィールド名を持つ複数のフィールドデータを配列内に出力することで修正した。 (#1202) (@hitenkoku) csv-timeline
、json-timeline
、eid-metrics
、logon-summary
、pivot-keywords-list
、search
コマンドで調査対象ファイルの指定オプション(-l
、-f
、-d
)が存在しないときに処理が実行されないように修正した。 (#1235) (@hitenkoku)