-
Notifications
You must be signed in to change notification settings - Fork 200
New issue
Have a question about this project? Sign up for a free GitHub account to open an issue and contact its maintainers and the community.
By clicking “Sign up for GitHub”, you agree to our terms of service and privacy statement. We’ll occasionally send you account related emails.
Already on GitHub? Sign in to your account
Duplicate Sec 4688
events outputted with ./target/release/hayabusa -M -d ../hayabusa-sample-evtx
#729
Comments
@hitenkoku 今思い出しましたが、チャンネル名が |
基本は小文字で実施をしています。問題がないか念のため確認します |
確認が完了しました。ご指摘いただいた事項はMetrics実装の際に対応済みです データ自体になにも存在しない可能性があり得るためもう少し解析します |
Sec 4688: Unknown
when execute ./target/release/hayabusa -M -d ../hayabusa-sample-evtx
Sec 4688
events outputted with ./target/release/hayabusa -M -d ../hayabusa-sample-evtx
Metricsですべてのレコード情報を出したところEventID 4688 の物自体が9712件となっていました。 集計の際に何かしら情報が残ってしまっている可能性があるためもう少し調査します |
確認が取れました。eventIDの情報を取得した際にダブルクォートも含んだ形で情報を管理していたことが原因でした。修正を行いpull-requestを出しておきます |
@YamatoSecurity 対応が完了しました。イベントIDのキー名に一部ダブルクォートが入ってしまったことによる集計の誤りであることが確認できました。 #733 で修正したのでご確認ください。 |
@hitenkoku 対応ありがとうございました! |
@YamatoSecurity 可能性は否定できないです。ただ、今回問題となっている処理の関数に関連した処理は検知側のロジックでは利用していないため、確実に修正が必要とは判断できないです。 確認は必要だとは思いますので、一応調査用のissueを作っておきます。もし不要となればissueをcloseする方針にしようともいます |
これを別issueにしますか? @hitenkoku
Originally posted by @YamatoSecurity in #728 (comment)
The text was updated successfully, but these errors were encountered: