3.1.0 [2025/2/22] - Ninja Day Release
New Features:
-X, --remove-duplicate-detectionsoption toeid-metricsandlogon-summarycommands. (#1552) (@fukusuket)- New "Emergency Alerts" and severity level adjustment based on critical systems. Add a list of the computer names of critical systems (Ex: Domain Controllers, File Servers, etc...) to
config/critical_systems.txtand all of the alerts abovelowwill be adjusted one higher. That is,lowwill becomemedium,mediumwill becomehigh, etc...criticalalerts will become newemergencyalerts. (#1551) (@fukusuket) - New
config-critical-systemscommand to automatically find domain controllers and file servers to add to the./config/critical_systems.txtfile. (#1570) (@fukusuket) - Added a
-S, --tab-separatoroption in thecsv-timeline,searchandlog-metricscommands to separate field information by tabs. (#1587) (@fukusuket)
Enhancements:
- Added
--timeline-start/--timeline-endoptions to thesearchcommand. (#1543) (@fukuseket) - Significantly improved the speed of the
logon-summarycommand with channel filtering. (#1544) (@fukusuket) - The
extract-base64command now also works onPowerShell Classic EID 400events. (#1549) (@fukusuket) - The
extract-base64command now also scans PowerShell Core logs as well. (#1558) (@fukusuket) - The
extract-base64command now also scansSystem 7045(Service Creation) events. (#1583) (@fukusuket) searchcommand uses much less memory and is faster as it does not sort results by default now. You can sort results like before with the new-s, --sortoption. (#1475) (@hach1yon)
Bug Fixes:
- An unneeded file was being created with
logon-summaryandpivot-keywords-listcommands. (#1553) (@fukusuket) - MITRE tactics JSON output was not consistent for a few rules. (#1573) (@fukusuket)
- Rule authors would not be outputted to the HTML report in version
v3.0.x. (#1571) (@fukusuket) - The rule file name for correlation rules would not be outputted in the JSON timeline when the live response encoded rules were used. (#1572) (@fukusuket)
- The
level-tuningcommand was not working. (#1584) (@fukusuket)
Other:
- The
-s, --sort-eventsoptions have been renamed to-s, --sort. (@YamatoSecurity) - Added the
RuleIDto all profiles exceptminimal. (@YamatoSecurity) - Code refactoring: use default trait to reduce unnecessary initialization codes in StoredStatic. (#1588) (@fukusuket)
新機能:
eid-metricsとlogon-summaryコマンドに-X, --remove-duplicate-detectionsオプションを追加した。 (#1552) (@fukusuket)- 新しい「緊急アラート 」と重要なシステムに基づく重大度レベルの調整。
config/critical_systems.txtに重要なシステム(例: ドメインコントローラ、ファイルサーバ等々)のコンピュータ名のリストを追加すると、low以上のすべてのアラートが1つ高く調整される。つまり、lowはmediumに、mediumはhighに、criticalアラートは新しいemergencyアラートになる。 (#1551) (@fukusuket) ./config/critical_systems.txtファイルに追加するドメインコントローラーとファイルサーバーを自動的に見つけるconfig-critical-systemsコマンドを追加した。 (#1570) (@fukusuket)csv-timeline、search、log-metricsコマンドに、フィールド情報をタブで区切る-S, --tab-separatorオプションを追加した。 (#1587) (@fukusuket)
改善:
searchコマンドに--timeline-start/--timeline-endオプションを追加した。 (#1543) (@fukuseket)- チャンネルフィルタリングで
logon-summaryコマンドの速度を大幅に改善した。 (#1544) (@fukusuket) extract-base64コマンドがPowerShell Classic EID 400イベントも対象するようになった。 (#1549) (@fukusuket)extract-base64コマンドがPowerShell Coreログにも対応した。 (#1558) (@fukusuket)extract-base64コマンドがSystem 7045(サービス作成)イベントにも対応した。 (#1583) (@fukusuket)searchコマンドは、デフォルトでは結果をソートしないので、メモリ使用量が大幅に減り、より高速になった。新しい-s, --sortオプションを使えば、以前と同じように結果をソートできる。(#1475) (@hach1yon)
バグ修正:
logon-summaryとpivot-keywords-listコマンドが不要なファイルを出力していた。 (#1553) (@fukusuket)- JSON出力では、いくつかのルールでMITRE戦術の一貫性がなかった。 (#1573) (@fukusuket)
- バージョンv3.0.x`ではルール作者情報がHTMLレポートに出力されていなかった。 (#1571) (@fukusuket)
- ライブ調査用のエンコードされたルールが使用されている場合、相関ルールのルールファイル名がJSONタイムラインに出力されていなかった。 (#1572) (@fukusuket)
level-tuningコマンドが正しく動いていなかった。 (#1584) (@fukusuket)
その他:
-s, --sort-eventsオプションが-s, --sortに名前変更された。 (@YamatoSecurity)minimal以外のプロファイルにRuleIDを追加した。 (@YamatoSecurity)- コードのリファクタリング: StoredStaticの不要な初期化コードを減らすためにデフォルトのtraitを使用することにした。 (#1588) (@fukusuket)
Contributors
hach1yon, fukusuket, and YamatoSecurity