Releases: Yamato-Security/hayabusa
Releases · Yamato-Security/hayabusa
v2.15.0 🦅
2.15.0 [2024/04/20] "Sonic Release"
Enhancements:
- Added support for
windash
field modifier (ex.|contains|windash:
,|contains|all|windash:
) in sigma rules. (#1319) (@hitenkoku)- https://sigmahq.io/docs/basics/modifiers.html#windash
- Note: currently on the backend we convert the use of
windash
in rules so they are compatibile with previous versions of Hayabusa, however, around the end of May we will start to keep the use ofwindash
as-is so please update to this version before then or else you will recieve rule parsing errors if you update rules.
Bug Fixes:
-T
detection frequency timeline was not usable in version 2.14.0. (#1322) (@fukusuket)- Fixed
windash
not working when there is a wildcard. (#1327) (@hitenkoku)
改善:
- Sigmaルールの
windash
フィールド修飾子 (例:|contains|windash:
と|contains|all|windash:
)に対応した。 (#1319) (@hitenkoku)- https://sigmahq.io/docs/basics/modifiers.html#windash
- 注意: 現在、バックエンドでは、以前のバージョンのHayabusaと互換性があるようにルール内の
windash
の使用を変換しているが、5月末ごろには、windash
の使用をそのままにする予定なので、それまでにこのバージョンにアップデートしてください。
バグ修正:
- バージョン2.14.0では、
-T
の検知頻度タイムライン出力は使用できなかった。 (#1322) (@fukusuket) windash
でワイルドカードが利用できない問題を修正した。 (#1327) (@hitenkoku)
v2.14.0 🦅
2.14.0 [2024/03/30] "BSides Tokyo Release"
New Features:
- Added
--include-status
option: You can specify rules based on theirstatus
. (#1193) (@hitenkoku) - Added a
-s, --low-memory-mode
option that uses up to 95% less memory. However, in order to do this, Hayabusa cannot sort results nor use-R, --remove-duplicate-data
and/or-X, --remove-duplicate-detections
in combination. (#1254) (@hach1yon @hitenkoku)
Enhancements:
- Removed unused crates. (@YamatoSecurity)
- JSON input now supports the format exported from Splunk. (#1083) (@hitenkoku)
- Performance enchancements. (#1277, #1278) (@fukusuket)
- Reordered
search
result fields to look similar to thecsv-timeline
command results. (#1297) (@hitenkoku) - Added master piece character in ascii art eggs. R.I.P. lovely master hidden behind the gas mask. (#1304) (@hitenkoku)
- Unified help option format in
computer-metrics
command with other commands. (#1314) (@hitenkoku)
Bug Fixes:
- JSON output of the
search
command was missing theAllFieldInfo
field. (#1251) (@hitenkoku) - The time the user took to choose options in the scan wizard was included in elapsed time so we now exclude that. (#1291) (@hitenkoku)
- Fixed
-h, --help
option is being displayed multiple times. (#1309) (@hitenkoku)
新機能:
- 指定した
status
のルールのみを利用する--include-status
オプションを追加した。 (#1193) (@hitenkoku) - メモリ使用量を最大95%削減する
-s, --low-memory-mode
(低メモリモード)オプションを追加した。ただし、そのためには結果をソートしたり、-R, --remove-duplicate-data
または-X, --remove-duplicate-detections
を併用したりすることはできない。(#1254) (@hach1yon @hitenkoku)
改善:
- 未使用のクレートを削除した。(@YamatoSecurity)
- SplunkからエクスポートしたJSONファイルの入力に対応した。 (#1083) (@hitenkoku)
- パフォーマンスの改善 (#1277, #1278) (@fukusuket)
csv-timeline
コマンドの結果と同様になるようにするために、search
コマンドの結果の表示順番を変更した。 (#1297) (@hitenkoku)- イースターエッグに最強のキャラクターを追加した。 (#1304) (@hitenkoku)
computer-metrics
コマンドのhelpオプションの表示をほかのコマンドの形式に合わせた。 (#1314) (@hitenkoku)
バグ修正:
search
コマンドのJSON出力でAllFieldInfo
フィールドの情報が出力されなくなっていたのを修正した。 (#1251) (@hitenkoku)- ウィザードのオプション選択の時間が処理時間の中に含まれていたため除外した。 (#1291) (@hitenkoku)
-h, --help
オプションが重複して複数回表示されていた問題を修正した。 (#1309) (@hitenkoku)
v2.13.0 🦅
2.13.0 [2024/02/11] "Year Of The Dragon Release"
Enhancements:
- Adjusted the
search
command's Filter option to be an exact match and support wildcard characters. (#1240) (@hitenkoku) - Any time there is a change in a detection rule, it will be displayed when running the
update-rules
command. Previously, only rules that updated theirmodified
field would be displayed. (#1243) (@hitenkoku) - The
json-timeline
command now outputs in JSON format when outputting to the terminal. (#1197) (@hitenkoku) - Added support for parsing JSON input when the data is inside an array. (#1248) (@hitenkoku)
- Changed the
‖
separator into a·
separator to make it easier to read and render properly on older terminals. (#1258) (@YamatoSecurity) - Added a
-h, --help
option to General Options for all commands. (#1255) (@hitenkoku) - Changed the
Details
output in thejson-timeline
command from alphabetical order to the original order. - Loading detection rules is now skipped when running commands that do not need them. (#1263) (@hitenkoku)
- Improved the standard output colors in the
csv-timeline
command. (#1271) (@hitenkoku) - Refactoring and performance enhancements. (#1268, #1260) (@hach1yon)
Bug Fixes:
- Removed newline characters in the
search
command output. (#1253) (@hitenkoku) - Fixed the progress bar and wizard colored output when the
--no-color
option is used. (#1256) (@hitenkoku) - Fixed a panic when the local timezone was not able to be identified. This was fixed in the
chrono
crate version 0.4.32. (#1273)
改善:
search
コマンドのフィルタオプションを完全一致にするようにした。加えてフィルタオプションはワイルドカード対応をするようにした。 (#1240) (@hitenkoku)update-rules
コマンドを実行したときに、検知ルールが変更された場合にルール名を出力するようにした。以前はmodified
フィールドを更新したルールだけが表示されていた。(#1243) (@hitenkoku)json-timeline
コマンドの標準出力でJSONフォーマットを出力するように修正した。 (#1197) (@hitenkoku)- JSON入力でデータが配列内にある場合に解析できるようにした。 (#1248) (@hitenkoku)
- 古いターミナルでも正しく表示されるように、また読みやすくするために、
‖
区切り文字を·
区切り文字に変更した。(#1258) (@YamatoSecurity) - General Optionsに
-h, --help
オプションを追加した。 (#1255) (@hitenkoku) json-timeline
コマンドのDetails
の出力で、要素がアルファベット順に並んでいたのをルールに記載されているオリジナルの順番に変更した。 (#1264) (@hitenkoku)- ルールをロードする必要のないコマンドを実行した場合、検出ルールのロードをスキップするようにした。 (#1263) (@hitenkoku)
csv-timeline
コマンドの標準出力のカラー出力ルールを変更した。 (#1271) (@hitenkoku)- リファクタリングとパフォーマンスの改善。(#1268, #1260) (@hach1yon)
バグ修正:
search
コマンドの出力に入っている不要な改行文字を削除した。 (#1253) (@hitenkoku)no-color
オプション使用時のプログレスバーとウィザードのカラー出力を修正した。 (#1256) (@hitenkoku)- ローカルのタイムゾーンを特定できない場合にパニックが発生する問題を修正した。
chrono
クレートのバージョン0.4.32で修正された。(#1273)
v2.12.0 🦅
2.12.0 [2023/12/23] "SECCON Christmas Release"
Enhancements:
%MitreTactics%
,%MitreTags%
,%OtherTags%
fields are now outputted as an array of strings in JSON output. (#1230) (@hitenkoku)- Added a summary of MITRE ATT&CK tactics that were detected for each computer in the HTML report. In order to use this feature, you need to use a profile that includes the
%MitreTactics%
field. (#1226) (@hitenkoku) - Output messages about reporting issues and false positives when using
csv-timeline
orjson-timeline
commands. (#1236) (@hitenkoku)
Bug Fixes:
- In JSON output, multiple field names with the same names were not outputted as an array so only one result would be returned when parsing with
jq
. We fixed this by outputting multiple field data with the same field name inside an array. (#1202) (@hitenkoku) - Fixed a bug in the
csv-timeline
,json-timeline
,eid-metrics
,logon-summary
,pivot-keywords-list
andsearch
commands so that Hayabusa will quit whenever no input option (-l
,-f
or-d
) is specified. (#1235) (@hitenkoku)
改善:
- JSON出力において、MitreTactics、MitreTags, OtherTagsの出力を要素ごとに文字列で出力させるように修正した。 (#1230) (@hitenkoku)
- 検知した端末に対してMITRE ATT&CKの戦術をHTMLレポートに出力できるようにした。この機能を利用するためには利用したプロファイルに
%MitreTactics%
が存在する必要がある。 (#1226) (@hitenkoku) csv-timeline
またはjson-timeline
コマンドが利用されたときにissueやpull-requestの連絡先についてのメッセージを追加した。 (#1236) (@hitenkoku)
バグ修正:
- JSON出力において、同じ名前の複数のフィールド名が配列として出力されないため、
jq
でパースすると1つの結果しか返されなかった。同じフィールド名を持つ複数のフィールドデータを配列内に出力することで修正した。 (#1202) (@hitenkoku) csv-timeline
、json-timeline
、eid-metrics
、logon-summary
、pivot-keywords-list
、search
コマンドで調査対象ファイルの指定オプション(-l
、-f
、-d
)が存在しないときに処理が実行されないように修正した。 (#1235) (@hitenkoku)
v2.11.0 🦅
2.11.0 [2023/12/04] "Nasi Lemak Release"
New Features:
- Extraction of fields from PowerShell classic logs. (Can disable with
--no-pwsh-field-extraction
) (#1220) (@fukusuket)
Enhancements:
- Added rule count in the scan wizard. (#1206) (@hitenkoku)
新機能:
- PowerShell classicログのフィールドを抽出するようにした。(
--no-pwsh-field-extraction
で無効化できる) (#1220) (@fukusuket)
改善:
- スキャンウィザードにルール数を追加した. (#1206) (@hitenkoku)
v2.10.1 🦅
2.10.1 [2023/11/13] "Kamemushi-Tsubushi (Bug-Fix) Release"
Enhancements:
- Added questions to the scan wizard. (#1207) (@hitenkoku)
Bug Fixes:
update-rules
command would outputYou currently have the latest rules
even if new rules were downloaded in version2.10.0
. (#1209) (@fukusuket)- Regular expressions would sometimes be incorrectly handled. (#1212) (@fukusuket)
- In the rare case that there is no
Data
field such as for JSON input, a panic would occur. (#1215) (@fukusuket)
改善:
- スキャンウィザードに質問を追加した。 (#1207) (@hitenkoku)
バグ修正:
- バージョン
2.10.0
のupdate-rules
コマンドでは、新しいルールがダウンロードされても、You currently have the latest rules
というメッセージを出力していた。 (#1209) (@fukusuket) - 正規表現が正しく処理されない場合があった。 (#1212) (@fukusuket)
- JSON入力等に
Data
フィールドが存在しない場合、パニックが発生していた。(#1215) (@fukusuket)
v2.10.0 🦅
2.10.0 [2023/10/31] "Halloween Release"
🦅 Enhancements:
- Added a scan wizard to help new users choose which rules they want to enable. Add the
-w, --no-wizard
option to run Hayabusa in the traditional way. (Scan for all events and alerts, and customize options manually.) (#1188) (@hitenkoku) - Added the
--include-tag
option to thepivot-keywords-list
command to only load rules with the specifiedtags
field. (#1195) (@hitenkoku) - Added the
--exclude-tag
option to thepivot-keywords-list
command to exclude rules with specifictags
from being loaded. (#1195) (@hitenkoku)
🐛 Bug Fixes:
- Fixed that field information defined in
Details
was also output toExtraFieldInfo
in some cases. (#1145) (@hitenkoku) - Fixed output of newline and tab characters in
AllFieldInfo
in JSON output. (#1189) (@hitenkoku) - Fixed output of space characters in some fields in standard output. (#1192) (@hitenkoku)
🦅 改善:
- 初心者のユーザのために有効にしたいルールを選択するようにスキャンウィザードを追加した。
-w, --no-wizard
オプションを追加すると、従来の形式でHayabusaを実行できる。(すべてのイベントとアラートをスキャンし、オプションを手動でカスタマイズする) (#1188) (@hitenkoku) pivot-keywords-list
コマンドに--include-tag
オプションを追加し、指定したtags
フィールドを持つルールのみをロードするようにした。(#1195) (@hitenkoku)pivot-keywords-list
コマンドに--exclude-tag
オプションを追加し、指定したtags
フィールドを持つルールをロードしないようにした。(#1195) (@hitenkoku)
🐛 バグ修正:
- まれにJSONフィールドが正しくパースされない状態を修正した。(#1145) (@hitenkoku)
- JSON出力で、
AllFieldInfo
は改行文字とタブ文字を除去していたが、出力するように修正した。 (#1189) (@hitenkoku) - 標準出力のいくつかのフィールドでスペースが削除されて見づらくなっていたのを修正した。 (#1192) (@hitenkoku)
v2.9.0 🦅
2.9.0 [2023/09/22] "Autumn Rain Release"
Enhancements:
- Added an error message to indicate that when you can't load evtx files in Windows due to specifying a directory path with spaces in it, you need to remove the trailing backslash. (#1166) (@hitenkoku, thanks for the suggestion from @joswr1ght)
- Optimized the number of records to load at a time for performance. (#1175) (@YamatoSecurity)
- Replaced double backslashes in paths under the progress bar on Windows systems with single forward slashes. (#1172) (@hitenkoku)
- Made the
Details
field forcount
rules a string in the JSON output for easier parsing. (#1179) (@hitenkoku) - Changed the default number of threads from number of CPUs to the estimate of the default amount of parallelism a program should use (
std::thread::available_parallelism
). (#1182) (@hitenkoku)
Bug Fixes:
- Fixed JSON fields would not be correctly parsed in rare cases. (#1145) (@hitenkoku)
Other:
- Removed the unmaintained
hhmmss
crate that uses an oldtime
crate in order to pass the code coverage CI checks. (#1181) (@hitenkoku)
改善:
- ディレクトリパスの指定にバックスラッシュを使用すべきではないことを示すエラーメッセージを追加した。 (#1166) (@hitenkoku, 提案者: @joswr1ght)
- 一度に読み込むレコード数の最適化。(#1175) (@YamatoSecurity)
- プログレスバー内にあるバックスラッシュの表示をスラッシュに変更した。 (#1172) (@hitenkoku)
- JSON形式で出力する際に、
count
ルールのDetails
フィールドを文字列にし、パースしやすくした。(#1179) (@hitenkoku) - デフォルトのスレッド数をCPU数から、プログラムが使用すべきデフォルトの並列度の推定値(
std::thread::available_parallelism
)に変更した。(#1182) (@hitenkoku)
バグ修正:
- まれにJSONフィールドが正しくパースされない状態を修正した。(#1145) (@hitenkoku)
その他:
- CIを通すために
time
クレートを利用している更新されていないhhmmss
クレートを除外した。 (#1181) (@hitenkoku)
v2.8.0 🦅
2.8.0 [2023/09/01] "Double X Release"
New Features:
- Added support for
HexToDecimal
in the field mapping configuration files to convert hex values to decimal. (Useful for converting the original process IDs from hex to decimal.) (#1133) (@fukusuket) - Added
-x, --recover-records
option tocsv-timeline
andjson-timeline
to recover evtx records through file carving in evtx slack space. (#952) (@hitenkoku) (Evtx carving feature is thanks to @forensicmatt) - Added
-X, --remove-duplicate-detections
option tocsv-timeline
andjson-timeline
to not output any duplicate detection entries. (Useful when you use-x
, include backup logs or logs extracted from VSS with duplicate data, etc...) - Added a
--timeline-offset
option tocsv-timeline
,json-timeline
,logon-summary
,eid-metrics
,pivot-keywords-list
andsearch
commands to scan just recent events based on a offset of years, months, days, hours, etc... (#1159) (@hitenkoku) - Added a
-a, --and-logic
option in thesearch
command to search keywords with AND logic. (#1162) (@hitenkoku)
Other:
- When using
-x, --recover-records
, an additional%RecoveredRecord%
field will be added to the output profile and will outputY
to indicate if a record was recovered. (#1160) (@hitenkoku)
新機能:
- フィールドマッピング設定に16進数値を10進数に変換する
HexToDecimal
機能に対応した。 (元の16進数のプロセスIDを変換するのに便利。) (#1133) (@fukusuket) csv-timeline
とjson-timeline
に-x, --recover-records
オプションを追加し、evtxレコードの空領域でのファイルカービングによってevtxレコードを復元できるようにした。(#952) (@hitenkoku) (Evtxカービング機能は@forensicmattに実装された。)csv-timeline
とjson-timeline
に-X, --remove-duplicate-detections
オプションを追加した。(-x
を使用する場合、重複データのあるバックアップログを含める場合などに便利。) (#1157) (@fukusuket)csv-timeline
、json-timeline
、logon-summary
、eid-metrics
、pivot-keywords-list
、search
コマンドに、直近のイベントだけをスキャンするための--timeline-offset
オプションを追加した。 (#1159) (@hitenkoku)search
コマンドに-a, --and-logic
オプションを追加し、複数のキーワードをAND条件で検索できるようにした。 (#1162) (@hitenkoku)
その他:
- 出力プロファイルに、回復されたかどうかを示す
%RecoveredRecord%
フィールドを追加した。 (#1170) (@hitenkoku)
v2.7.0 🦅
v2.7.0 "SANS DFIR Summit Release"
🦅 New Features:
- Certain code numbers are now mapped to human-readable messages based on the
.yaml
config files in./rules/config/data_mapping
. (Example:%%2307
will be converted toACCOUNT LOCKOUT
). You can turn off this behavior with the-F, --no-field-data-mapping
option. (#177) (@fukusuket) - Added the
-R, --remove-duplicate-data
option in thecsv-timeline
command to replace duplicate field data with the stringDUP
in the%Details%
,%AllFieldInfo%
,%ExtraFieldInfo%
columns to reduce file size. (#1056) (@hitenkoku) - Added the
-R, --remove-duplicate-data
option to thejson-timeline
command to replace duplicate field data with the stringDUP
in the%Details%
,%AllFieldInfo%
,%ExtraFieldInfo%
fields to reduce file size. (#1134) (@hitenkoku) - Added the
-P, --proven-rules
option incsv-timeline
andjson-timeline
commands. When used, Hayabusa will only load rules that have been proven to work. These are defined by rule ID in the./rules/config/proven_rules.txt
config file. (#1115) (@hitenkoku) - Added the
--include-tag
option tocsv-timeline
andjson-timeline
commands to only load rules with the specifiedtags
field. (#1108) (@hitenkoku) - Added the
--exclude-tag
option tocsv-timeline
andjson-timeline
commands to exclude rules with specifictags
from being loaded. (#1118) (@hitenkoku) - Added
--include-category
and--exclude-category
options tocsv-timeline
andjson-timeline
commands. When using--include-category
, only rules with the specifiedcategory
field will be loaded.--exclude-category
will exclude rules from being loaded based oncategory
. (#1119) (@hitenkoku) - Added the
computer-metrics
command to list up how many events there are based on computer name. (#1116) (@hitenkoku) - Added
--include-computer
and--exclude-computer
options tocsv-timeline
,json-timeline
,metrics
,logon-summary
andpivot-keywords-list
commands. The--include-computer
option only scans the specified computer(s).--exclude-computer
excludes them. (#1117) (@hitenkoku) - Added
--include-eid
and--exclude-eid
options tocsv-timeline
,json-timeline
, andpivot-keywords-list
commands. The--include-eid
option only scans the specified EventID(s).--exclude-eid
excludes them. (#1130) (@hitenkoku)
🦅 Enhancements:
- Ignore corrupted event records with timestamps before 2007/1/31 when Windows Vista was released with the new
.evtx
log format. (#1102) (@fukusuket) - When
--output
is set in themetrics
command, the results will not be displayed to screen. (#1099) (@hitenkoku) - Added the
-C, --clobber
option to overwrite existing output files in thepivot-keywords-list
command. (#1125) (@hitenkoku) - Renamed the
metrics
command toeid-metrics
. (#1128) (@hitenkoku) - Reduced progress bar width to leave room for adjustment of the terminal. (#1135) (@hitenkoku)
- Added support for outputing timestamps in the following formats in the
search
command:--European-time
,--ISO-8601
,--RFC-2822
,--RFC-3339
,--US-time
,--US-military-time
,-U, --UTC
. (#1040) (@hitenkoku) - Replaced the ETA time in the progress bar with elapsed time as the ETA time was not accurate. (#1143) (@YamatoSecurity)
- Added
--timeline-start
and--timeline-end
to thelogon-summary
command. (#1152) (@hitenkoku)
🐛 Bug Fixes:
- The total number of records being displayed in the
metrics
andlogon-summary
commands differed from thecsv-timeline
command. (#1105) (@hitenkoku) - Changed rule count by rule ID instead of path. (#1113) (@hitenkoku)
--timeline-start
and--timeline-end
were not working correctly with thejson-timeline
command. (#1148) (@hitenkoku)--timeline-start
and--timeline-end
were not working correctly with thepivot-keywords-list
command. (#1150) (@hitenkoku)
Other:
- The total count of unique detections are now based on rule IDs instead of rule file paths. (#1111) (@hitenkoku)
- Renamed the
--live_analysis
option to--live-analysis
. (#1139) (@hitenkoku) - Renamed the
metrics
command toeid-metrics
. (#1128) (@hitenkoku)
変更点
🦅 新機能:
./rules/config/data_mapping
にある.yaml
設定ファイルに基づいて、特定のコード番号が人間が読めるメッセージにマッピングされるようになった。(例:%%2307
は、ACCOUNT LOCKOUT
に変換される)。この動作は-F, --no-field-data-mapping
オプションで無効にできる。(#177) (@fukusuket)csv-timeline
コマンドに-R, --remove-duplicate-data
オプションを追加し、%Details%
、%AllFieldInfo%
、%ExtraFieldInfo%
列の重複フィールドデータをDUP
という文字列に変換し、ファイルサイズの削減を行う。(#1056) (@hitenkoku)json-timeline
コマンドに-R, --remove-duplicate-data
オプションを追加し、%Details%
、%AllFieldInfo%
、%ExtraFieldInfo%
フィールドの重複フィールドデータをDUP
という文字列に変換し、ファイルサイズの削減を行う。(#1134) (@hitenkoku)csv-timeline
とjson-timeline
コマンドに-P, --proven-rules
オプションを追加した。有効にすると、検知が証明されたルールしかロードされない。ロードされるルールは、./rules/config/proven_rules.txt
の設定ファイルにルールIDで定義されている。 (#1115) (@hitenkoku)csv-timeline
とjson-timeline
コマンドに--include-tag
オプションを追加し、指定したtags
フィールドを持つルールのみをロードするようにした。(#1108) (@hitenkoku)csv-timeline
とjson-timeline
コマンドに--exclude-tag
オプションを追加し、指定したtags
フィールドを持つルールをロードしないようにした。(#1118) (@hitenkoku)csv-timeline
とjson-timeline
コマンドに--include-category
と--exclude-category
オプションを追加した。include-category
は、指定されたcategory
フィールドのルールのみをロードする。--exclude-category
は、指定されたcategory
フィールドを持つルールをロードしない。 (#1119) (@hitenkoku)- コンピュータ名に基づくイベント数をリストアップする
computer-metrics
コマンドを追加した。(#1116) (@hitenkoku) csv-timeline
、json-timeline
、metrics
、logon-summary
、pivot-keywords-list
コマンドに--include-computer
と--exclude-computer
オプションを追加した。include-computer
は、指定されたcomputer
の検知のみを出力する。--exclude-computer
は、指定されたcomputer
の検知を除外する。 (#1117) (@hitenkoku)csv-timeline
、json-timeline
、pivot-keywords-list
コマンドに--include-eid
と--exclude-eid
オプションを追加した。include-eid
は、指定されたEventID
のみを検知対象とする。--exclude-eid
は、指定されたEventID
を検知対象から除外する。 (#1130) (@hitenkoku)
🦅 改善:
- 新しいログ形式の
.evtx
を使用するWindows Vistaがリリースされた2007年1月31日以前のタイムスタンプを持つ破損されたイベントレコードを無視するようにした。(#1102) (@fukusuket) metrics
コマンドで--output
オプションを指定した時に標準出力に結果を表示しないように変更した。 (#1099) (@hitenkoku)csv-timeline
コマンドとjson-timeline
コマンドに--tags
オプションを追加し、指定したtags
フィールドを持つルールのみでスキャンできるようにした。(#1108) (@hitenkoku)pivot-keywords-list
コマンドに対して、出力ファイルを上書きするための-C, --clobber
オプションを追加した。 (#1125) (@hitenkoku)metrics
コマンドをeid-metrics
に変更した。 (#1128) (@hitenkoku)- 端末の調整に余裕を持たせるため、プログレスバーの幅を減らした。 (#1135) (@hitenkoku)
search
コマンドで出力時間フォーマットのオプションをサポートした。(--European-time
,--ISO-8601
,--RFC-2822
,--RFC-3339
,--US-time
,--US-military-time
,-U, --UTC
) (#1040) (@hitenkoku)- プログレスバーのETA時間が正確でなかったため、経過時間に置き換えた。 (#1143) (@YamatoSecurity)
logon-summary
コマンドで--timeline-start
と--timeline-end
オプションを追加した。 (#1152) (@hitenkoku)
🐛バグ修正:
metrics
とlogon-summary
コマンドのレコード数の表示がcsv-timeline
のコマンドでのレコード数の表示と異なっている状態を修正した。 (#1105) (@hitenkoku)- パスの代わりにルールIDでルール数を数えるように変更した。 (#1113) (@hitenkoku)
json-timeline
コマンドで--timeline-start
と--timeline-end
オプションが動作しなかったのを修正した。 (#1148) (@hitenkoku)pivot-keywords-list
コマンドで--timeline-start
と--timeline-end
オプションが動作しなかったのを修正した。 (#1150) (@hitenkoku)
その他:
- ルールのIDベースでユニークな検出数をカウントするように修正した。 (#1111) (@hitenkoku)
--live_analysis
オプションを--live-analysis
に変更した。 (#1139) (@hitenkoku)metrics
コマンドをeid-metrics
に変更した。 (#1128) (@hitenkoku)