v1.7.1 🦅

Changes

🦅 Enhancements:

• Hayabusa now checks Channel and EID information based on rules/config/channel_eid_info.txt to provide more accurate results. (#463) (@garigariganzy)
• Do not display a message about loading detection rules when using the -M or -L options. (#730) (@hitenkoku)
• Added a table of rule authors to standard output. (#724) (@hitenkoku)
• Ignore event records when the channel name is null (ETW events) when scanning and showing EID metrics. (#727) (@hitenkoku)

🐛 Bug Fixes:

• Fixed a bug where the same Channel and EID would be counted separately with the -M option. (#729) (@hitenkoku)

変更点

🦅 改善:

• より正確な結果を出力するために、チャンネルとEIDの情報をrules/config/channel_eid_info.txtに基づいてチェックするようにした。 (#463) (@garigariganzy)
• 検知ルールを利用しないオプション(-Mと-Lオプション)の時のメッセージの出力内容を修正した。 (#730) (@hitenkoku)
• 検出したルールの作者名を標準出力に追加した。 (#724) (@hitenkoku)
• チャンネル情報がnullとなっているレコード(ETWイベント)を検知およびmetricの対象から除外した。 (#727) (@hitenkoku)

🐛バグ修正:

• mericオプションのEventIDのキー名の数え上げが原因となっていたイベント集計の誤りを修正した。 (#729) (@hitenkoku)

v1.7.0 🦅

Changes

🦅 New Features:

• Added a HTML summary report output option (-H, --html-report). (#689) (@hitenkoku, @nishikawaakira)

🦅 Enhancements:

• Changed Event ID Statistics option to Event ID Metrics option. (-s, --statistics -> -M, --metrics) (#706) (@hitenkoku)
  (Note: statistics_event_info.txt was changed to event_id_info.txt.)
• Display new version of Hayabusa link when updating rules if there is a newer version. (#710) (@hitenkoku)
• Added logo in HTML summary output. (#714) (@hitenkoku)
• Unified output to one table when using -M or -L with the -d option. (#707) (@hitenkoku)
• Added Channel column to metrics output. (#707) (@hitenkoku)
• Removed First Timestamp and Last Timestamp of -M and -L option with the -d option. (#707) (@hitenkoku)
• Added csv output option(-o --output) when -M or -L option is used. (#707) (@hitenkoku)
• Separated Count and Percent columns in metric output. (#707) (@hitenkoku)
• Changed output table format of the metric option and logon information crate from prettytable-rs to comfy_table. (#707) (@hitenkoku)
• Added favicon.png in HTML summary output. (#722) (@hitenkoku)

変更点

🦅 新機能:

• HTMLレポート機能 (-H, --html-report)の追加。 (#689) (@hitenkoku, @nishikawaakira)

🦅 改善:

• EventID解析のオプションをmetricsオプションに変更した。(旧: -s, --statistics -> 新: -M, --metrics) (#706) (@hitenkoku)
• ルール更新オプション(-u)を利用したときにHayabusaの新バージョンがないかを確認し、表示するようにした。 (#710) (@hitenkoku)
• HTMLレポート内にロゴを追加した。 (#714) (@hitenkoku)
• メトリクスオプション(-M --metrics)もしくはログオン情報(-L --logon-summary)と-dオプションを利用した場合に1つのテーブルで表示されるように修正した。 (#707) (@hitenkoku)
• メトリクスオプションの結果出力にチャンネル列を追加した。 (#707) (@hitenkoku)
• メトリクスオプション(-M --metrics)もしくはログオン情報(-L --logon-summary)と-dオプションを利用した場合に「First Timestamp」と「Last Timestamp」の出力を行わないように修正した。 (#707) (@hitenkoku)
• メトリクスオプションとログオン情報オプションに対してcsv出力機能(-o --output)を追加した。 (#707) (@hitenkoku)
• メトリクスオプションの出力を検出回数と全体の割合が1つのセルで表示されていた箇所を2つの列に分けた。 (#707) (@hitenkoku)
• メトリクスオプションとログオン情報の画面出力に利用していたprettytable-rsクレートをcomfy_tableクレートに修正した. (#707) (@hitenkoku)
• HTMLレポート内にfavicon.pngを追加した。 (#722) (@hitenkoku)

v1.6.0 🦅

Changes

🦅New Features:

• You can now save the timeline to JSON files with the -j, --json option. (#654) (@hitenkoku)
• You can now save the timeline to JSONL files with the -J, --jsonl option. (#694) (@hitenkoku)

🦅Enhancements:

• Added top alerts to results summary. (#667) (@hitenkoku)
• Added --no-summary option to not display the results summary. (#672) (@hitenkoku)
• Made the results summary more compact. (#675 #678) (@hitenkoku)
• Made Channel field in channel_abbreviations.txt case-insensitive. (#685) (@hitenkoku)
• Changed pipe separator character in output from | to ‖. (#687) (@hitenkoku)
• Added color to Saved alerts and events / Total events analyzed. (#690) (@hitenkoku)
• Updated evtx crate to 0.8.0. (better handling when headers or date values are invalid.)
• Updated output profiles. (@YamatoSecurity)

🐛Bug Fixes:

• Hayabusa would crash with -L option (logon summary option). (#674) (@hitenkoku)
• Hayabusa would continue to scan without the correct config files but now will print and error and gracefully terminate. (#681) (@hitenkoku)
• Fixed total events from the number of scanned events to actual events in evtx. (#683) (@hitenkoku)

変更点

🦅新機能:

• 解析結果をJSONに出力する機能(-j, --json)を追加した。 (#654) (@hitenkoku)
• 解析結果をJSONL形式で出力する機能 (-J, --jsonl )を追加した。 (#694) (@hitenkoku)

🦅改善:

• 結果概要に各レベルで検知した上位5つのルールを表示するようにした。 (#667) (@hitenkoku)
• 結果概要を出力しないようにするために --no-summary オプションを追加した。 (#672) (@hitenkoku)
• 結果概要の表示を短縮させた。 (#675 #678) (@hitenkoku)
• channel_abbreviations.txtによるChannelフィールドのチェックを大文字小文字の区別をなくした。 (#685) (@hitenkoku)
• 出力結果の区切り文字を|から‖に変更した。 (#687) (@hitenkoku)
• 結果概要の検知数と総イベント数の数に色付けを行い見やすくした。 (#690) (@hitenkoku)
• evtxクレートを0.8.0にアップデート。(ヘッダーや日付の値が無効な場合の処理が改善された。)
• 出力プロファイルの更新。（@YamatoSecurity)

🐛バグ修正:

• ログオン情報の要約オプションを追加した場合に、Hayabusaがクラッシュしていたのを修正した。 (#674) (@hitenkoku)
• configオプションで指定したルールコンフィグの読み込みができていない問題を修正した。 (#681) (@hitenkoku)
• 結果概要のtotal eventsで読み込んだレコード数が出力されていたのを、検査対象にしているevtxファイルの実際のレコード数に修正した。 (#683) (@hitenkoku)

v1.5.1 🦅

Changes

🦅Enhancements:

• Re-released v1.5.1 on 2022/08/20 with an updated output profile that is compatible with Timesketch. (#668) (@YamatoSecurity)

🐛 Bug Fixes:

• Critical, medium and low level alerts were not being displayed in color. (#663) (@fukusuket)
• Hayabusa would crash when an evtx file specified with -f did not exist. (#664) (@fukusuket)

変更点

🦅改善:

• TimesketchにインポートできるCSV形式を出力するプロファイルを追加して、v1.5.1を2022/08/20に再リリースした。 (#668) (@YamatoSecurity)

🐛 バグ修正:

• Critical, medium、lowレベルのアラートはカラーで出力されていなかった。 (#663) (@fukusuket)
• -fで存在しないevtxファイルが指定された場合は、Hayabusaがクラッシュしていた。 (#664) (@fukusuket)

v1.5.0 🦅

Changes

🦅 New Features:

• Customizable output of fields defined at config/profiles.yaml and config/default_profile.yaml. (#165) (@hitenkoku)
• Implemented the null keyword for rule detection. It is used to check if a target field exists or not. (#643) (@hitenkoku)

🦅 Enhancements:

• Trimmed ./ from the rule path when updating. (#642) (@hitenkoku)
• Added new output aliases for MITRE ATT&CK tags and other tags. (#637) (@hitenkoku)
• Organized the menu output when -h is used. (#651) (@YamatoSecurity and @hitenkoku)
• Added commas to summary numbers to make them easier to read. (#649) (@hitenkoku)
• Added output percentage of detections in Result Summary. (#658) (@hitenkoku)

🐛 Bug Fixes:

• Fixed miscalculation of Data Reduction due to aggregation condition rule detection. (#640) (@hitenkoku)
• Fixed a race condition bug where a few events (around 0.01%) would not be detected. (#639 #660) (@fukusuket)

変更点

🦅 新機能:

• config/profiles.yamlとconfig/default_profile.yamlの設定ファイルで、出力内容をカスタマイズできる。 (#165) (@hitenkoku)
• 対象のフィールドがレコード内に存在しないことを確認する null キーワードに対応した。 (#643) (@hitenkoku)

🦅改善:

• ルールのアップデート機能のルールパスの出力から./を削除した。 (#642) (@hitenkoku)
• MITRE ATT&CK関連のタグとその他タグを出力するための出力用のエイリアスを追加した。 (#637) (@hitenkoku)
• 結果概要の数値をカンマをつけて見やすくした。 (#649) (@hitenkoku)
• -hオプションでメニューを使いやすいようにグループ化した。 (#651) (@YamatoSecurity and @hitenkoku)
• 結果概要内の検知数にパーセント表示を追加した。 (#658) (@hitenkoku)

🐛 バグ修正:

• aggregation conditionのルール検知が原因で検知しなかったイベント数の集計に誤りがあったので修正した。 (#640) (@hitenkoku)
• 一部のイベント（0.01%程度）が検出されないレースコンディションの不具合を修正した。 (#639 #660) (@fukusuket)

v1.4.3 🦅

🐛 Bug Fixes:

• Hayabusa would not run on Windows 11 when the VC redistribute package was not installed but now everything is compiled statically. (#635) (@fukusuket)

🐛 バグ修正:

• VC再頒布パッケージがインストールされていないWindows 11環境でエラーが発生している状態を修正した。 (#635) (@fukusuket)

v1.4.2 🦅

Changes

🦅 Enhancements:

• You can now update rules to a custom directory by combining the --update-rules and --rules options. (#615) (@hitenkoku)
• Improved speed with parallel processing by up to 20% with large files. (#479) (@kazuminn)
• When saving files with -o, the .yml detection rule path column changed from RulePath to RuleFile and only the rule file name will be saved in order to decrease file size. (#623) (@hitenkoku)

🐛 Bug Fixes:

• Fixed a runtime error when hayabusa is run from a different path than the current directory. (#618) (@hitenkoku)

🦅 改善:

• --update-rules オプションを利用する時に、更新対象のレポジトリを--rulesオプションで指定できるようにした。 (#615) (@hitenkoku)
• 並列処理の改善による高速化。 (#479) (@kazuminn)
• --outputオプションを利用したときのRulePathをRuleFileに変更した。RuleFileは出力するファイルの容量を低減させるためにファイル名のみを出力するようにした。 (#623) (@hitenkoku)

🐛 バグ修正:

• cargo runコマンドでhayabusaを実行するとconfigフォルダの読み込みエラーが発生する問題を修正した。 (#618) (@hitenkoku)

v1.4.1 🦅

Changes

🦅 Enhancements:

• When no details field is defined in a rule nor in ./rules/config/default_details.txt, all fields will be outputted to the details column. (#606) (@hitenkoku)
• Added the -D, --deep-scan option. Now by default, events are filtered by Event IDs that there are detection rules for defined in rules/config/target_event_IDs.txt. This should improve performance by 25~55% while still detecting almost everything. If you want to do a thorough scan on all events, you can disable the event ID filter with -D, --deep-scan. (#608) (@hitenkoku)
• channel_abbreviations.txt, statistics_event_info.txt and target_event_IDs.txt have been moved from the config directory to the rules/config directory in order to provide updates with -U, --update-rules.

🦅 改善:

• ルールや./rules/config/default_details.txt に対応するdetailsの記載がない場合、すべてのフィールド情報を結果の``Details`列に出力するようにした。 (#606) (@hitenkoku)
• --deep-scanオプションの追加。 このオプションがない場合、config/target_event_ids.txtで指定されたイベントIDのみをスキャン対象とします。 このオプションをつけることですべてのイベントIDをスキャン対象とします。(#608) (@hitenkoku)
• -U, --update-rulesオプションでchannel_abbreviations.txt、statistics_event_info.txt、target_event_IDs.txtを更新できるように、configディレクトリからrules/configディレクトリに移動した。

v1.4.0 🦅

Changes

🦅 New Features:

• Added --target-file-ext option. You can specify additional file extensions to scan in addtition to the default .evtx files. For example, --target-file-ext evtx_data or multiple extensions with --target-file-ext evtx1 evtx2. (#586) (@hitenkoku)
• Added --exclude-status option: You can ignore rules based on their status. (#596) (@hitenkoku)

🦅 Enhancements:

• The zip files with compiled binaries now have the documentation, source code, PDFs, etc.. removed to reduce file size. (@YamatoSecurity)
• Added default details output based on rules/config/default_details.txt when no details field in a rule is specified. (i.e. Sigma rules) (#359) (@hitenkoku)
• Updated clap crate package to version 3. (#413) (@hitnekoku)
• Updated the default usage and help menu. (#387) (@hitenkoku)
• Hayabusa can be run from any directory, not just from the current directory. (#592) (@hitenkoku)
• Added saved file size output when output is specified. (#595) (@hitenkoku)

🐛 Bug Fixes:

• Fixed output error and program termination when long output is displayed with color. (#603) (@hitenkoku)
• Ignore loading yml files in rules/tools/sigmac/testfiles to fix Excluded rules count. (#602) (@hitenkoku)

変更点

🦅 新機能:

• --target-file-ext オプションの追加。evtx以外の拡張子を指定する事ができます。ただし、ファイルの中身の形式はevtxファイル形式である必要があります。 (#586) (@hitenkoku)
• --exclude-status オプションの追加。ルール内のstatusフィールドをもとに、読み込み対象から除外するフィルタを利用することができます。 (#596) (@hitenkoku)

🦅改善:

• ルール内にdetailsフィールドがないときに、rules/config/default_details.txtに設定されたデフォルトの出力を行えるようにした。 (#359) (@hitenkoku)
• Clap Crateパッケージの更新 (#413) (@hitenkoku)
• オプションの指定がないときに、--helpと同じ画面出力を行うように変更した。(#387) (@hitenkoku)
• hayabusa.exeをカレントワーキングディレクトリ以外から動作できるようにした。 (#592) (@hitenkoku)
• output オプションで指定されファイルのサイズを出力するようにした。 (#595) (@hitenkoku)

🐛 バグ修正:

• カラー出力で長い出力があった場合にエラーが出て終了する問題を修正した。 (#603) (@hitenkoku)
• Excluded rulesの合計でrules/tools/sigmac/testfiles配下のテストルールも入っていたので、無視するようにした。 (#602) (@hitenkoku)

v1.3.2 🦅

Changes

🦅 Enhancements

• Updated the evtx Rust crate from 0.7.2 to 0.7.3 with updated packages to fix various potential bugs. (@YamatoSecurity)

🦅 改善

• evtxクレートを0.7.2から0.7.3に更新し、パッケージを全部更新した。 (@YamatoSecurity)

※ Linux x64 GNU and macOS (Intel + ARM) binaries are included in the all-platforms zip file.