Skip to content

Commit

Permalink
Merge pull request #589 from Yamato-Security/v1.3.2
Browse files Browse the repository at this point in the history 
v1.3.2
  • Loading branch information
@hitenkoku
hitenkoku authored Jun 13, 2022
2 parents 1796dd1 + ce51728 commit 92560e3
Show file tree
Hide file tree
Showing 9 changed files with 75 additions and 101 deletions.
1 change: 1 addition & 0 deletions .gitignore
View file
Original file line number Diff line number Diff line change
Expand Up @@ -5,3 +5,4 @@
.DS_Store
test_*
.env
/logs
4 changes: 4 additions & 0 deletions CHANGELOG-Japanese.md
View file
Original file line number Diff line number Diff line change
@@ -1,5 +1,9 @@
# 変更点

## v1.3.2 [2022/06/13]

- evtxクレートを0.7.2から0.7.3に更新し、パッケージを全部更新した。 (@YamatoSecurity)

## v1.3.1 [2022/06/13]

**新機能:**
Expand Down
6 changes: 6 additions & 0 deletions CHANGELOG.md
View file
Original file line number Diff line number Diff line change
@@ -1,5 +1,11 @@
# Changes

## v1.3.2 [2022/06/13]

**Enhancements:**

- Changed the evtx Rust crate from 0.7.2 to 0.7.3 with updated packages. (@YamatoSecurity)

## v1.3.1 [2022/06/13]

**New Features:**
Expand Down
73 changes: 18 additions & 55 deletions Cargo.lock
View file

Some generated files are not rendered by default. Learn more about how customized files appear on GitHub.

4 changes: 2 additions & 2 deletions Cargo.toml
View file
Original file line number Diff line number Diff line change
@@ -1,13 +1,13 @@
[package]
name = "hayabusa"
version = "1.3.1"
version = "1.3.2"
authors = ["Yamato Security @SecurityYamato"]
edition = "2021"

# See more keys and their definitions at https://doc.rust-lang.org/cargo/reference/manifest.html

[dependencies]
evtx = { git = "https://github.com/omerbenamram/evtx.git" , rev = "95a8ca6" , features = ["fast-alloc"]}
evtx = { git = "https://github.com/Yamato-Security/hayabusa-evtx.git" , rev = "158d496" , features = ["fast-alloc"]}
quick-xml = {version = "0.23.0", features = ["serialize"] }
serde = { version = "1.0.*", features = ["derive"] }
serde_json = { version = "1.0"}
Expand Down
42 changes: 21 additions & 21 deletions README-Japanese.md
View file
Original file line number Diff line number Diff line change
Expand Up @@ -185,7 +185,7 @@ git clone https://github.com/Yamato-Security/hayabusa.git --recursive
`git pull --recurse-submodules`コマンド、もしくは以下のコマンドで`rules`フォルダを同期し、Hayabusaの最新のルールを更新することができます:

```bash
hayabusa-1.3.0-win-x64.exe -u
hayabusa-1.3.2-win-x64.exe -u
```

アップデートが失敗した場合は、`rules`フォルダの名前を変更してから、もう一回アップデートしてみて下さい。
Expand Down Expand Up @@ -267,34 +267,34 @@ Hayabusa実行する際や、`.yml`ルールのダウンロードや実行時に
## Windows

コマンドプロンプトやWindows Terminalから32ビットもしくは64ビットのWindowsバイナリをHayabusaのルートディレクトリから実行します。
例: `hayabusa-1.3.0-windows-x64.exe`
例: `hayabusa-1.3.2-windows-x64.exe`

## Linux

まず、バイナリに実行権限を与える必要があります。

```bash
chmod +x ./hayabusa-1.3.0-linux-x64-gnu
chmod +x ./hayabusa-1.3.2-linux-x64-gnu
```

次に、Hayabusaのルートディレクトリから実行します:

```bash
./hayabusa-1.3.0-linux-x64-gnu
./hayabusa-1.3.2-linux-x64-gnu
```

## macOS

まず、ターミナルやiTerm2からバイナリに実行権限を与える必要があります。

```bash
chmod +x ./hayabusa-1.3.0-mac-intel
chmod +x ./hayabusa-1.3.2-mac-intel
```

次に、Hayabusaのルートディレクトリから実行してみてください:

```bash
./hayabusa-1.3.0-mac-intel
./hayabusa-1.3.2-mac-intel
```

macOSの最新版では、以下のセキュリティ警告が出る可能性があります:
Expand All @@ -308,7 +308,7 @@ macOSの環境設定から「セキュリティとプライバシー」を開き
その後、ターミナルからもう一回実行してみてください:

```bash
./hayabusa-1.3.0-mac-intel
./hayabusa-1.3.2-mac-intel
```

以下の警告が出るので、「開く」をクリックしてください。
Expand Down Expand Up @@ -362,79 +362,79 @@ USAGE:
* 1つのWindowsイベントログファイルに対してHayabusaを実行します:

```bash
hayabusa-1.3.0-win-x64.exe -f eventlog.evtx
hayabusa-1.3.2-win-x64.exe -f eventlog.evtx
```

* 複数のWindowsイベントログファイルのあるsample-evtxディレクトリに対して、Hayabusaを実行します:

```bash
hayabusa-1.3.0-win-x64.exe -d .\hayabusa-sample-evtx
hayabusa-1.3.2-win-x64.exe -d .\hayabusa-sample-evtx
```

* 全てのフィールド情報も含めて1つのCSVファイルにエクスポートして、Excel、Timeline Explorer、Elastic Stack等でさらに分析することができます:

```bash
hayabusa-1.3.0-win-x64.exe -d .\hayabusa-sample-evtx -o results.csv -F
hayabusa-1.3.2-win-x64.exe -d .\hayabusa-sample-evtx -o results.csv -F
```

* Hayabusaルールのみを実行します(デフォルトでは `-r .\rules` にあるすべてのルールが利用されます):

```bash
hayabusa-1.3.0-win-x64.exe -d .\hayabusa-sample-evtx -r .\rules\hayabusa -o results.csv
hayabusa-1.3.2-win-x64.exe -d .\hayabusa-sample-evtx -r .\rules\hayabusa -o results.csv
```

* Windowsでデフォルトで有効になっているログに対してのみ、Hayabusaルールを実行します:

```bash
hayabusa-1.3.0-win-x64.exe -d .\hayabusa-sample-evtx -r .\rules\hayabusa\default -o results.csv
hayabusa-1.3.2-win-x64.exe -d .\hayabusa-sample-evtx -r .\rules\hayabusa\default -o results.csv
```

* Sysmonログに対してのみHayabusaルールを実行します:

```bash
hayabusa-1.3.0-win-x64.exe -d .\hayabusa-sample-evtx -r .\rules\hayabusa\sysmon -o results.csv
hayabusa-1.3.2-win-x64.exe -d .\hayabusa-sample-evtx -r .\rules\hayabusa\sysmon -o results.csv
```

* Sigmaルールのみを実行します:

```bash
hayabusa-1.3.0-win-x64.exe -d .\hayabusa-sample-evtx -r .\rules\sigma -o results.csv
hayabusa-1.3.2-win-x64.exe -d .\hayabusa-sample-evtx -r .\rules\sigma -o results.csv
```

* 廃棄(deprecated)されたルール(`status``deprecated`になっているルール)とノイジールール(`.\rules\config\noisy_rules.txt`にルールIDが書かれているルール)を有効にします:

```bash
hayabusa-1.3.0-win-x64.exe -d .\hayabusa-sample-evtx --enable-deprecated-rules --enable-noisy-rules -o results.csv
hayabusa-1.3.2-win-x64.exe -d .\hayabusa-sample-evtx --enable-deprecated-rules --enable-noisy-rules -o results.csv
```

* ログオン情報を分析するルールのみを実行し、UTCタイムゾーンで出力します:

```bash
hayabusa-1.3.0-win-x64.exe -d .\hayabusa-sample-evtx -r .\rules\hayabusa\default\events\Security\Logons -U -o results.csv
hayabusa-1.3.2-win-x64.exe -d .\hayabusa-sample-evtx -r .\rules\hayabusa\default\events\Security\Logons -U -o results.csv
```

* 起動中のWindows端末上で実行し(Administrator権限が必要)、アラート(悪意のある可能性のある動作)のみを検知します:

```bash
hayabusa-1.3.0-win-x64.exe -l -m low
hayabusa-1.3.2-win-x64.exe -l -m low
```

* criticalレベルのアラートからピボットキーワードの一覧を作成します(結果は結果毎に`keywords-Ip Address.txt``keyworss-Users.txt`等に出力されます):

```bash
hayabusa-1.3.0-win-x64.exe -l -m critical -p -o keywords
hayabusa-1.3.2-win-x64.exe -l -m critical -p -o keywords
```

* イベントIDの統計情報を取得します:

```bash
hayabusa-1.3.0-win-x64.exe -f Security.evtx -s
hayabusa-1.3.2-win-x64.exe -f Security.evtx -s
```

* 詳細なメッセージを出力します(処理に時間がかかるファイル、パースエラー等を特定するのに便利):

```bash
hayabusa-1.3.0-win-x64.exe -d .\hayabusa-sample-evtx -v
hayabusa-1.3.2-win-x64.exe -d .\hayabusa-sample-evtx -v
```

* Verbose出力の例:
Expand Down Expand Up @@ -655,7 +655,7 @@ Hayabusaルールは、Windowsのイベントログ解析専用に設計され
## 検知レベルのlevelチューニング

Hayabusaルール、Sigmaルールはそれぞれの作者が検知した際のリスクレベルを決めています。
ユーザが独自のリスクレベルに設定するには`./rules/config/level_tuning.txt`に変換情報を書き、`hayabusa-1.3.0-win-x64.exe --level-tuning`を実行することでルールファイルが書き換えられます。
ユーザが独自のリスクレベルに設定するには`./rules/config/level_tuning.txt`に変換情報を書き、`hayabusa-1.3.2-win-x64.exe --level-tuning`を実行することでルールファイルが書き換えられます。
ルールファイルが直接書き換えられることに注意して使用してください。

`./rules/config/level_tuning.txt`の例:
Expand Down
Loading

0 comments on commit 92560e3

Please sign in to comment.