Merge pull request #627 from Yamato-Security/finalize-1.4.2

1.4.2 finalization
Yamato-Security · Jul 23, 2022 · 66aff63 · 66aff63
2 parents 5a12aaf + 966994a
commit 66aff63
Show file tree

Hide file tree

Showing 9 changed files with 74 additions and 74 deletions.
diff --git a/CHANGELOG-Japanese.md b/CHANGELOG-Japanese.md
@@ -1,6 +1,6 @@
 # 変更点
 
-## v1.4.2 [2022/07/XX]
+## v1.4.2 [2022/07/24]
 
 **改善:**
 
@@ -10,7 +10,7 @@
 
 **バグ修正:**
 
-- cargo runコマンドでhayabusaを実行するとconfigフォルダの読み込みエラーが発生する問題を修正した。 (#618) (@hitenkoku)
+- `cargo run`コマンドでhayabusaを実行するとconfigフォルダの読み込みエラーが発生する問題を修正した。 (#618) (@hitenkoku)
 
 ## v1.4.1 [2022/06/30]
 

diff --git a/CHANGELOG.md b/CHANGELOG.md
@@ -1,12 +1,12 @@
 # Changes
 
-## v1.4.2 [2022/07/XX]
+## v1.4.2 [2022/07/24]
 
 **Enhancements:**
 
 - You can now update rules to a custom directory by combining the `--update-rules` and `--rules` options. (#615) (@hitenkoku)
 - Improved speed with parallel processing by up to 20% with large files. (#479) (@kazuminn)
-- The `.yml` rule path (changed from RulePath to RuleFile) saved with `-o` now outputs to decrease memory usage and file size. (#623) (@hitenkoku)
+- When saving files with `-o`, the `.yml` detection rule path column changed from `RulePath` to `RuleFile` and only the rule file name will be saved in order to decrease file size. (#623) (@hitenkoku)
 
 **Bug Fixes:**
 

diff --git a/Cargo.lock b/Cargo.lock
diff --git a/Cargo.toml b/Cargo.toml
@@ -1,6 +1,6 @@
 [package]
 name = "hayabusa"
-version = "1.4.2-dev"
+version = "1.4.2"
 authors = ["Yamato Security @SecurityYamato"]
 edition = "2021"
 

diff --git a/README-1.4.1-Japanese.pdf → README-1.4.2-Japanese.pdf b/README-1.4.1-Japanese.pdf → README-1.4.2-Japanese.pdf
diff --git a/README-1.4.1.pdf → README-1.4.2.pdf b/README-1.4.1.pdf → README-1.4.2.pdf
diff --git a/README-Japanese.md b/README-Japanese.md
@@ -182,7 +182,7 @@ git clone https://github.com/Yamato-Security/hayabusa.git --recursive
 `git pull --recurse-submodules`コマンド、もしくは以下のコマンドで`rules`フォルダを同期し、Hayabusaの最新のルールを更新することができます:
 
 ```bash
-hayabusa-1.4.1-win-x64.exe -u
+hayabusa-1.4.2-win-x64.exe -u
 ```
 
 アップデートが失敗した場合は、`rules`フォルダの名前を変更してから、もう一回アップデートしてみて下さい。
@@ -267,34 +267,34 @@ Windows PC起動後の初回実行時に時間がかかる場合があります
 
 コマンドプロンプトやWindows Terminalから32ビットもしくは64ビットのWindowsバイナリをHayabusaのルートディレクトリから実行します。
 
-例: `hayabusa-1.4.1-windows-x64.exe`
+例: `hayabusa-1.4.2-windows-x64.exe`
 
 ## Linux
 
 まず、バイナリに実行権限を与える必要があります。
 
 ```bash
-chmod +x ./hayabusa-1.4.1-linux-x64-gnu
+chmod +x ./hayabusa-1.4.2-linux-x64-gnu
 ```
 
 次に、Hayabusaのルートディレクトリから実行します：
 
 ```bash
-./hayabusa-1.4.1-linux-x64-gnu
+./hayabusa-1.4.2-linux-x64-gnu
 ```
 
 ## macOS
 
 まず、ターミナルやiTerm2からバイナリに実行権限を与える必要があります。
 
 ```bash
-chmod +x ./hayabusa-1.4.1-mac-intel
+chmod +x ./hayabusa-1.4.2-mac-intel
 ```
 
 次に、Hayabusaのルートディレクトリから実行してみてください：
 
 ```bash
-./hayabusa-1.4.1-mac-intel
+./hayabusa-1.4.2-mac-intel
 ```
 
 macOSの最新版では、以下のセキュリティ警告が出る可能性があります：
@@ -308,7 +308,7 @@ macOSの環境設定から「セキュリティとプライバシー」を開き
 その後、ターミナルからもう一回実行してみてください：
 
 ```bash
-./hayabusa-1.4.1-mac-intel
+./hayabusa-1.4.2-mac-intel
 ```
 
 以下の警告が出るので、「開く」をクリックしてください。
@@ -370,79 +370,79 @@ OPTIONS:
 * １つのWindowsイベントログファイルに対してHayabusaを実行します:
 
 ```bash
-hayabusa-1.4.1-win-x64.exe -f eventlog.evtx
+hayabusa-1.4.2-win-x64.exe -f eventlog.evtx
 ```
 
 * 複数のWindowsイベントログファイルのあるsample-evtxディレクトリに対して、Hayabusaを実行します:
 
 ```bash
-hayabusa-1.4.1-win-x64.exe -d .\hayabusa-sample-evtx
+hayabusa-1.4.2-win-x64.exe -d .\hayabusa-sample-evtx
 ```
 
 * 全てのフィールド情報も含めて１つのCSVファイルにエクスポートして、Excel、Timeline Explorer、Elastic Stack等でさらに分析することができます(注意: `-F`を有効にすると、出力するファイルのサイズがとても大きくなります！):
 
 ```bash
-hayabusa-1.4.1-win-x64.exe -d .\hayabusa-sample-evtx -o results.csv -F
+hayabusa-1.4.2-win-x64.exe -d .\hayabusa-sample-evtx -o results.csv -F
 ```
 
 * Hayabusaルールのみを実行します（デフォルトでは `-r .\rules` にあるすべてのルールが利用されます）:
 
 ```bash
-hayabusa-1.4.1-win-x64.exe -d .\hayabusa-sample-evtx -r .\rules\hayabusa -o results.csv
+hayabusa-1.4.2-win-x64.exe -d .\hayabusa-sample-evtx -r .\rules\hayabusa -o results.csv
 ```
 
 * Windowsでデフォルトで有効になっているログに対してのみ、Hayabusaルールを実行します:
 
 ```bash
-hayabusa-1.4.1-win-x64.exe -d .\hayabusa-sample-evtx -r .\rules\hayabusa\default -o results.csv
+hayabusa-1.4.2-win-x64.exe -d .\hayabusa-sample-evtx -r .\rules\hayabusa\default -o results.csv
 ```
 
 * Sysmonログに対してのみHayabusaルールを実行します:
 
 ```bash
-hayabusa-1.4.1-win-x64.exe -d .\hayabusa-sample-evtx -r .\rules\hayabusa\sysmon -o results.csv
+hayabusa-1.4.2-win-x64.exe -d .\hayabusa-sample-evtx -r .\rules\hayabusa\sysmon -o results.csv
 ```
 
 * Sigmaルールのみを実行します:
 
 ```bash
-hayabusa-1.4.1-win-x64.exe -d .\hayabusa-sample-evtx -r .\rules\sigma -o results.csv
+hayabusa-1.4.2-win-x64.exe -d .\hayabusa-sample-evtx -r .\rules\sigma -o results.csv
 ```
 
 * 廃棄(deprecated)されたルール(`status`が`deprecated`になっているルール)とノイジールール(`.\rules\config\noisy_rules.txt`にルールIDが書かれているルール)を有効にします:
 
 ```bash
-hayabusa-1.4.1-win-x64.exe -d .\hayabusa-sample-evtx --enable-deprecated-rules --enable-noisy-rules -o results.csv
+hayabusa-1.4.2-win-x64.exe -d .\hayabusa-sample-evtx --enable-deprecated-rules --enable-noisy-rules -o results.csv
 ```
 
 * ログオン情報を分析するルールのみを実行し、UTCタイムゾーンで出力します:
 
 ```bash
-hayabusa-1.4.1-win-x64.exe -d .\hayabusa-sample-evtx -r .\rules\hayabusa\default\events\Security\Logons -U -o results.csv
+hayabusa-1.4.2-win-x64.exe -d .\hayabusa-sample-evtx -r .\rules\hayabusa\default\events\Security\Logons -U -o results.csv
 ```
 
 * 起動中のWindows端末上で実行し（Administrator権限が必要）、アラート（悪意のある可能性のある動作）のみを検知します:
 
 ```bash
-hayabusa-1.4.1-win-x64.exe -l -m low
+hayabusa-1.4.2-win-x64.exe -l -m low
 ```
 
 * criticalレベルのアラートからピボットキーワードの一覧を作成します(結果は結果毎に`keywords-Ip Address.txt`や`keywords-Users.txt`等に出力されます):
 
 ```bash
-hayabusa-1.4.1-win-x64.exe -l -m critical -p -o keywords
+hayabusa-1.4.2-win-x64.exe -l -m critical -p -o keywords
 ```
 
 * イベントIDの統計情報を取得します:
 
 ```bash
-hayabusa-1.4.1-win-x64.exe -f Security.evtx -s
+hayabusa-1.4.2-win-x64.exe -f Security.evtx -s
 ```
 
 * 詳細なメッセージを出力します(処理に時間がかかるファイル、パースエラー等を特定するのに便利):
 
 ```bash
-hayabusa-1.4.1-win-x64.exe -d .\hayabusa-sample-evtx -v
+hayabusa-1.4.2-win-x64.exe -d .\hayabusa-sample-evtx -v
 ```
 
 * Verbose出力の例:
@@ -661,7 +661,7 @@ Hayabusaルールは、Windowsのイベントログ解析専用に設計され
 ## 検知レベルのlevelチューニング
 
 Hayabusaルール、Sigmaルールはそれぞれの作者が検知した際のリスクレベルを決めています。
-ユーザが独自のリスクレベルに設定するには`./rules/config/level_tuning.txt`に変換情報を書き、`hayabusa-1.4.1-win-x64.exe --level-tuning`を実行することでルールファイルが書き換えられます。
+ユーザが独自のリスクレベルに設定するには`./rules/config/level_tuning.txt`に変換情報を書き、`hayabusa-1.4.2-win-x64.exe --level-tuning`を実行することでルールファイルが書き換えられます。
 ルールファイルが直接書き換えられることに注意して使用してください。
 
 `./rules/config/level_tuning.txt`の例:
@@ -674,7 +674,7 @@ id,new_level
 
 ## イベントIDフィルタリング
 
-バージョン1.4.1以降では、デフォルトでパフォーマンスを上げるために、検知ルールでイベントIDが定義されていないイベントを無視しています。
+バージョン1.4.2以降では、デフォルトでパフォーマンスを上げるために、検知ルールでイベントIDが定義されていないイベントを無視しています。
 デフォルトでは`./rules/config/target_event_IDs.txt`で定義されたIDがスキャンされます。
 If you want to scan all events, please use the `-D, --deep-scan` option.
 すべてのイベントをスキャンしたい場合は、`-D, --deep-scan`オプションを使用してください。