Releases: Yamato-Security/hayabusa
Releases · Yamato-Security/hayabusa
v1.7.1 🦅
Changes
🦅 Enhancements:
- Hayabusa now checks Channel and EID information based on
rules/config/channel_eid_info.txt
to provide more accurate results. (#463) (@garigariganzy) - Do not display a message about loading detection rules when using the
-M
or-L
options. (#730) (@hitenkoku) - Added a table of rule authors to standard output. (#724) (@hitenkoku)
- Ignore event records when the channel name is
null
(ETW events) when scanning and showing EID metrics. (#727) (@hitenkoku)
🐛 Bug Fixes:
- Fixed a bug where the same Channel and EID would be counted separately with the
-M
option. (#729) (@hitenkoku)
変更点
🦅 改善:
- より正確な結果を出力するために、チャンネルとEIDの情報を
rules/config/channel_eid_info.txt
に基づいてチェックするようにした。 (#463) (@garigariganzy) - 検知ルールを利用しないオプション(
-M
と-L
オプション)の時のメッセージの出力内容を修正した。 (#730) (@hitenkoku) - 検出したルールの作者名を標準出力に追加した。 (#724) (@hitenkoku)
- チャンネル情報が
null
となっているレコード(ETWイベント)を検知およびmetricの対象から除外した。 (#727) (@hitenkoku)
🐛バグ修正:
- mericオプションのEventIDのキー名の数え上げが原因となっていたイベント集計の誤りを修正した。 (#729) (@hitenkoku)
v1.7.0 🦅
Changes
🦅 New Features:
- Added a HTML summary report output option (
-H, --html-report
). (#689) (@hitenkoku, @nishikawaakira)
🦅 Enhancements:
- Changed Event ID Statistics option to Event ID Metrics option. (
-s, --statistics
->-M, --metrics
) (#706) (@hitenkoku)
(Note:statistics_event_info.txt
was changed toevent_id_info.txt
.) - Display new version of Hayabusa link when updating rules if there is a newer version. (#710) (@hitenkoku)
- Added logo in HTML summary output. (#714) (@hitenkoku)
- Unified output to one table when using
-M
or-L
with the-d
option. (#707) (@hitenkoku) - Added Channel column to metrics output. (#707) (@hitenkoku)
- Removed First Timestamp and Last Timestamp of
-M
and-L
option with the-d
option. (#707) (@hitenkoku) - Added csv output option(
-o --output
) when-M
or-L
option is used. (#707) (@hitenkoku) - Separated Count and Percent columns in metric output. (#707) (@hitenkoku)
- Changed output table format of the metric option and logon information crate from prettytable-rs to comfy_table. (#707) (@hitenkoku)
- Added favicon.png in HTML summary output. (#722) (@hitenkoku)
変更点
🦅 新機能:
- HTMLレポート機能 (
-H, --html-report
)の追加。 (#689) (@hitenkoku, @nishikawaakira)
🦅 改善:
- EventID解析のオプションをmetricsオプションに変更した。(旧:
-s, --statistics
-> 新:-M, --metrics
) (#706) (@hitenkoku) - ルール更新オプション(
-u
)を利用したときにHayabusaの新バージョンがないかを確認し、表示するようにした。 (#710) (@hitenkoku) - HTMLレポート内にロゴを追加した。 (#714) (@hitenkoku)
- メトリクスオプション(
-M --metrics
)もしくはログオン情報(-L --logon-summary
)と-d
オプションを利用した場合に1つのテーブルで表示されるように修正した。 (#707) (@hitenkoku) - メトリクスオプションの結果出力にチャンネル列を追加した。 (#707) (@hitenkoku)
- メトリクスオプション(
-M --metrics
)もしくはログオン情報(-L --logon-summary
)と-d
オプションを利用した場合に「First Timestamp」と「Last Timestamp」の出力を行わないように修正した。 (#707) (@hitenkoku) - メトリクスオプションとログオン情報オプションに対してcsv出力機能(
-o --output
)を追加した。 (#707) (@hitenkoku) - メトリクスオプションの出力を検出回数と全体の割合が1つのセルで表示されていた箇所を2つの列に分けた。 (#707) (@hitenkoku)
- メトリクスオプションとログオン情報の画面出力に利用していたprettytable-rsクレートをcomfy_tableクレートに修正した. (#707) (@hitenkoku)
- HTMLレポート内にfavicon.pngを追加した。 (#722) (@hitenkoku)
v1.6.0 🦅
Changes
🦅New Features:
- You can now save the timeline to JSON files with the
-j, --json
option. (#654) (@hitenkoku) - You can now save the timeline to JSONL files with the
-J, --jsonl
option. (#694) (@hitenkoku)
🦅Enhancements:
- Added top alerts to results summary. (#667) (@hitenkoku)
- Added
--no-summary
option to not display the results summary. (#672) (@hitenkoku) - Made the results summary more compact. (#675 #678) (@hitenkoku)
- Made Channel field in channel_abbreviations.txt case-insensitive. (#685) (@hitenkoku)
- Changed pipe separator character in output from
|
to‖
. (#687) (@hitenkoku) - Added color to Saved alerts and events / Total events analyzed. (#690) (@hitenkoku)
- Updated evtx crate to 0.8.0. (better handling when headers or date values are invalid.)
- Updated output profiles. (@YamatoSecurity)
🐛Bug Fixes:
- Hayabusa would crash with
-L
option (logon summary option). (#674) (@hitenkoku) - Hayabusa would continue to scan without the correct config files but now will print and error and gracefully terminate. (#681) (@hitenkoku)
- Fixed total events from the number of scanned events to actual events in evtx. (#683) (@hitenkoku)
変更点
🦅新機能:
- 解析結果をJSONに出力する機能(
-j, --json
)を追加した。 (#654) (@hitenkoku) - 解析結果をJSONL形式で出力する機能 (
-J, --jsonl
)を追加した。 (#694) (@hitenkoku)
🦅改善:
- 結果概要に各レベルで検知した上位5つのルールを表示するようにした。 (#667) (@hitenkoku)
- 結果概要を出力しないようにするために
--no-summary
オプションを追加した。 (#672) (@hitenkoku) - 結果概要の表示を短縮させた。 (#675 #678) (@hitenkoku)
- channel_abbreviations.txtによるChannelフィールドのチェックを大文字小文字の区別をなくした。 (#685) (@hitenkoku)
- 出力結果の区切り文字を
|
から‖
に変更した。 (#687) (@hitenkoku) - 結果概要の検知数と総イベント数の数に色付けを行い見やすくした。 (#690) (@hitenkoku)
- evtxクレートを0.8.0にアップデート。(ヘッダーや日付の値が無効な場合の処理が改善された。)
- 出力プロファイルの更新。(@YamatoSecurity)
🐛バグ修正:
- ログオン情報の要約オプションを追加した場合に、Hayabusaがクラッシュしていたのを修正した。 (#674) (@hitenkoku)
- configオプションで指定したルールコンフィグの読み込みができていない問題を修正した。 (#681) (@hitenkoku)
- 結果概要のtotal eventsで読み込んだレコード数が出力されていたのを、検査対象にしているevtxファイルの実際のレコード数に修正した。 (#683) (@hitenkoku)
v1.5.1 🦅
Changes
🦅Enhancements:
- Re-released v1.5.1 on 2022/08/20 with an updated output profile that is compatible with Timesketch. (#668) (@YamatoSecurity)
🐛 Bug Fixes:
- Critical, medium and low level alerts were not being displayed in color. (#663) (@fukusuket)
- Hayabusa would crash when an evtx file specified with
-f
did not exist. (#664) (@fukusuket)
変更点
🦅改善:
- TimesketchにインポートできるCSV形式を出力するプロファイルを追加して、v1.5.1を2022/08/20に再リリースした。 (#668) (@YamatoSecurity)
🐛 バグ修正:
- Critical, medium、lowレベルのアラートはカラーで出力されていなかった。 (#663) (@fukusuket)
-f
で存在しないevtxファイルが指定された場合は、Hayabusaがクラッシュしていた。 (#664) (@fukusuket)
v1.5.0 🦅
Changes
🦅 New Features:
- Customizable output of fields defined at
config/profiles.yaml
andconfig/default_profile.yaml
. (#165) (@hitenkoku) - Implemented the
null
keyword for rule detection. It is used to check if a target field exists or not. (#643) (@hitenkoku)
🦅 Enhancements:
- Trimmed
./
from the rule path when updating. (#642) (@hitenkoku) - Added new output aliases for MITRE ATT&CK tags and other tags. (#637) (@hitenkoku)
- Organized the menu output when
-h
is used. (#651) (@YamatoSecurity and @hitenkoku) - Added commas to summary numbers to make them easier to read. (#649) (@hitenkoku)
- Added output percentage of detections in Result Summary. (#658) (@hitenkoku)
🐛 Bug Fixes:
- Fixed miscalculation of Data Reduction due to aggregation condition rule detection. (#640) (@hitenkoku)
- Fixed a race condition bug where a few events (around 0.01%) would not be detected. (#639 #660) (@fukusuket)
変更点
🦅 新機能:
config/profiles.yaml
とconfig/default_profile.yaml
の設定ファイルで、出力内容をカスタマイズできる。 (#165) (@hitenkoku)- 対象のフィールドがレコード内に存在しないことを確認する
null
キーワードに対応した。 (#643) (@hitenkoku)
🦅改善:
- ルールのアップデート機能のルールパスの出力から./を削除した。 (#642) (@hitenkoku)
- MITRE ATT&CK関連のタグとその他タグを出力するための出力用のエイリアスを追加した。 (#637) (@hitenkoku)
- 結果概要の数値をカンマをつけて見やすくした。 (#649) (@hitenkoku)
-h
オプションでメニューを使いやすいようにグループ化した。 (#651) (@YamatoSecurity and @hitenkoku)- 結果概要内の検知数にパーセント表示を追加した。 (#658) (@hitenkoku)
🐛 バグ修正:
- aggregation conditionのルール検知が原因で検知しなかったイベント数の集計に誤りがあったので修正した。 (#640) (@hitenkoku)
- 一部のイベント(0.01%程度)が検出されないレースコンディションの不具合を修正した。 (#639 #660) (@fukusuket)
v1.4.3 🦅
🐛 Bug Fixes:
- Hayabusa would not run on Windows 11 when the VC redistribute package was not installed but now everything is compiled statically. (#635) (@fukusuket)
🐛 バグ修正:
- VC再頒布パッケージがインストールされていないWindows 11環境でエラーが発生している状態を修正した。 (#635) (@fukusuket)
v1.4.2 🦅
Changes
🦅 Enhancements:
- You can now update rules to a custom directory by combining the
--update-rules
and--rules
options. (#615) (@hitenkoku) - Improved speed with parallel processing by up to 20% with large files. (#479) (@kazuminn)
- When saving files with
-o
, the.yml
detection rule path column changed fromRulePath
toRuleFile
and only the rule file name will be saved in order to decrease file size. (#623) (@hitenkoku)
🐛 Bug Fixes:
- Fixed a runtime error when hayabusa is run from a different path than the current directory. (#618) (@hitenkoku)
🦅 改善:
--update-rules
オプションを利用する時に、更新対象のレポジトリを--rules
オプションで指定できるようにした。 (#615) (@hitenkoku)- 並列処理の改善による高速化。 (#479) (@kazuminn)
--output
オプションを利用したときのRulePathをRuleFileに変更した。RuleFileは出力するファイルの容量を低減させるためにファイル名のみを出力するようにした。 (#623) (@hitenkoku)
🐛 バグ修正:
cargo run
コマンドでhayabusaを実行するとconfigフォルダの読み込みエラーが発生する問題を修正した。 (#618) (@hitenkoku)
v1.4.1 🦅
Changes
🦅 Enhancements:
- When no
details
field is defined in a rule nor in./rules/config/default_details.txt
, all fields will be outputted to thedetails
column. (#606) (@hitenkoku) - Added the
-D, --deep-scan
option. Now by default, events are filtered by Event IDs that there are detection rules for defined inrules/config/target_event_IDs.txt
. This should improve performance by 25~55% while still detecting almost everything. If you want to do a thorough scan on all events, you can disable the event ID filter with-D, --deep-scan
. (#608) (@hitenkoku) channel_abbreviations.txt
,statistics_event_info.txt
andtarget_event_IDs.txt
have been moved from theconfig
directory to therules/config
directory in order to provide updates with-U, --update-rules
.
🦅 改善:
- ルールや
./rules/config/default_details.txt
に対応するdetails
の記載がない場合、すべてのフィールド情報を結果の``Details`列に出力するようにした。 (#606) (@hitenkoku) --deep-scan
オプションの追加。 このオプションがない場合、config/target_event_ids.txt
で指定されたイベントIDのみをスキャン対象とします。 このオプションをつけることですべてのイベントIDをスキャン対象とします。(#608) (@hitenkoku)-U, --update-rules
オプションでchannel_abbreviations.txt
、statistics_event_info.txt
、target_event_IDs.txt
を更新できるように、config
ディレクトリからrules/config
ディレクトリに移動した。
v1.4.0 🦅
Changes
🦅 New Features:
- Added
--target-file-ext
option. You can specify additional file extensions to scan in addtition to the default.evtx
files. For example,--target-file-ext evtx_data
or multiple extensions with--target-file-ext evtx1 evtx2
. (#586) (@hitenkoku) - Added
--exclude-status
option: You can ignore rules based on theirstatus
. (#596) (@hitenkoku)
🦅 Enhancements:
- The zip files with compiled binaries now have the documentation, source code, PDFs, etc.. removed to reduce file size. (@YamatoSecurity)
- Added default details output based on
rules/config/default_details.txt
when nodetails
field in a rule is specified. (i.e. Sigma rules) (#359) (@hitenkoku) - Updated clap crate package to version 3. (#413) (@hitnekoku)
- Updated the default usage and help menu. (#387) (@hitenkoku)
- Hayabusa can be run from any directory, not just from the current directory. (#592) (@hitenkoku)
- Added saved file size output when
output
is specified. (#595) (@hitenkoku)
🐛 Bug Fixes:
- Fixed output error and program termination when long output is displayed with color. (#603) (@hitenkoku)
- Ignore loading yml files in
rules/tools/sigmac/testfiles
to fixExcluded rules
count. (#602) (@hitenkoku)
変更点
🦅 新機能:
--target-file-ext
オプションの追加。evtx以外の拡張子を指定する事ができます。ただし、ファイルの中身の形式はevtxファイル形式である必要があります。 (#586) (@hitenkoku)--exclude-status
オプションの追加。ルール内のstatus
フィールドをもとに、読み込み対象から除外するフィルタを利用することができます。 (#596) (@hitenkoku)
🦅改善:
- ルール内に
details
フィールドがないときに、rules/config/default_details.txt
に設定されたデフォルトの出力を行えるようにした。 (#359) (@hitenkoku) - Clap Crateパッケージの更新 (#413) (@hitenkoku)
- オプションの指定がないときに、
--help
と同じ画面出力を行うように変更した。(#387) (@hitenkoku) - hayabusa.exeをカレントワーキングディレクトリ以外から動作できるようにした。 (#592) (@hitenkoku)
output
オプションで指定されファイルのサイズを出力するようにした。 (#595) (@hitenkoku)
🐛 バグ修正:
- カラー出力で長い出力があった場合にエラーが出て終了する問題を修正した。 (#603) (@hitenkoku)
Excluded rules
の合計でrules/tools/sigmac/testfiles
配下のテストルールも入っていたので、無視するようにした。 (#602) (@hitenkoku)
v1.3.2 🦅
Changes
🦅 Enhancements
- Updated the evtx Rust crate from 0.7.2 to 0.7.3 with updated packages to fix various potential bugs. (@YamatoSecurity)
🦅 改善
- evtxクレートを0.7.2から0.7.3に更新し、パッケージを全部更新した。 (@YamatoSecurity)
※ Linux x64 GNU and macOS (Intel + ARM) binaries are included in the all-platforms zip file.