v2.15.0 🦅

2.15.0 [2024/04/20] "Sonic Release"

Enhancements:

• Added support for windash field modifier (ex. |contains|windash:, |contains|all|windash:) in sigma rules. (#1319) (@hitenkoku)
  • https://sigmahq.io/docs/basics/modifiers.html#windash
  • Note: currently on the backend we convert the use of windash in rules so they are compatibile with previous versions of Hayabusa, however, around the end of May we will start to keep the use of windash as-is so please update to this version before then or else you will recieve rule parsing errors if you update rules.

Bug Fixes:

• -T detection frequency timeline was not usable in version 2.14.0. (#1322) (@fukusuket)
• Fixed windash not working when there is a wildcard. (#1327) (@hitenkoku)

改善:

• Sigmaルールの windashフィールド修飾子 (例: |contains|windash:と|contains|all|windash:)に対応した。 (#1319) (@hitenkoku)
  • https://sigmahq.io/docs/basics/modifiers.html#windash
  • 注意: 現在、バックエンドでは、以前のバージョンのHayabusaと互換性があるようにルール内のwindashの使用を変換しているが、5月末ごろには、windashの使用をそのままにする予定なので、それまでにこのバージョンにアップデートしてください。

バグ修正:

• バージョン2.14.0では、-Tの検知頻度タイムライン出力は使用できなかった。 (#1322) (@fukusuket)
• windash でワイルドカードが利用できない問題を修正した。 (#1327) (@hitenkoku)

v2.14.0 🦅

2.14.0 [2024/03/30] "BSides Tokyo Release"

New Features:

• Added --include-status option: You can specify rules based on their status. (#1193) (@hitenkoku)
• Added a -s, --low-memory-mode option that uses up to 95% less memory. However, in order to do this, Hayabusa cannot sort results nor use -R, --remove-duplicate-data and/or -X, --remove-duplicate-detections in combination. (#1254) (@hach1yon @hitenkoku)

Enhancements:

• Removed unused crates. (@YamatoSecurity)
• JSON input now supports the format exported from Splunk. (#1083) (@hitenkoku)
• Performance enchancements. (#1277, #1278) (@fukusuket)
• Reordered search result fields to look similar to the csv-timeline command results. (#1297) (@hitenkoku)
• Added master piece character in ascii art eggs. R.I.P. lovely master hidden behind the gas mask. (#1304) (@hitenkoku)
• Unified help option format in computer-metrics command with other commands. (#1314) (@hitenkoku)

Bug Fixes:

• JSON output of the search command was missing the AllFieldInfo field. (#1251) (@hitenkoku)
• The time the user took to choose options in the scan wizard was included in elapsed time so we now exclude that. (#1291) (@hitenkoku)
• Fixed -h, --help option is being displayed multiple times. (#1309) (@hitenkoku)

新機能:

• 指定したstatusのルールのみを利用する--include-statusオプションを追加した。 (#1193) (@hitenkoku)
• メモリ使用量を最大95%削減する-s, --low-memory-mode(低メモリモード)オプションを追加した。ただし、そのためには結果をソートしたり、-R, --remove-duplicate-dataまたは-X, --remove-duplicate-detectionsを併用したりすることはできない。(#1254) (@hach1yon @hitenkoku)

改善:

• 未使用のクレートを削除した。(@YamatoSecurity)
• SplunkからエクスポートしたJSONファイルの入力に対応した。 (#1083) (@hitenkoku)
• パフォーマンスの改善 (#1277, #1278) (@fukusuket)
• csv-timelineコマンドの結果と同様になるようにするために、searchコマンドの結果の表示順番を変更した。 (#1297) (@hitenkoku)
• イースターエッグに最強のキャラクターを追加した。 (#1304) (@hitenkoku)
• computer-metricsコマンドのhelpオプションの表示をほかのコマンドの形式に合わせた。 (#1314) (@hitenkoku)

バグ修正:

• search コマンドのJSON出力でAllFieldInfoフィールドの情報が出力されなくなっていたのを修正した。 (#1251) (@hitenkoku)
• ウィザードのオプション選択の時間が処理時間の中に含まれていたため除外した。 (#1291) (@hitenkoku)
• -h, --helpオプションが重複して複数回表示されていた問題を修正した。 (#1309) (@hitenkoku)

v2.13.0 🦅

2.13.0 [2024/02/11] "Year Of The Dragon Release"

Enhancements:

• Adjusted the search command's Filter option to be an exact match and support wildcard characters. (#1240) (@hitenkoku)
• Any time there is a change in a detection rule, it will be displayed when running the update-rules command. Previously, only rules that updated their modified field would be displayed. (#1243) (@hitenkoku)
• The json-timeline command now outputs in JSON format when outputting to the terminal. (#1197) (@hitenkoku)
• Added support for parsing JSON input when the data is inside an array. (#1248) (@hitenkoku)
• Changed the ‖ separator into a · separator to make it easier to read and render properly on older terminals. (#1258) (@YamatoSecurity)
• Added a -h, --help option to General Options for all commands. (#1255) (@hitenkoku)
• Changed the Details output in the json-timeline command from alphabetical order to the original order.
• Loading detection rules is now skipped when running commands that do not need them. (#1263) (@hitenkoku)
• Improved the standard output colors in the csv-timeline command. (#1271) (@hitenkoku)
• Refactoring and performance enhancements. (#1268, #1260) (@hach1yon)

Bug Fixes:

• Removed newline characters in the search command output. (#1253) (@hitenkoku)
• Fixed the progress bar and wizard colored output when the --no-color option is used. (#1256) (@hitenkoku)
• Fixed a panic when the local timezone was not able to be identified. This was fixed in the chrono crate version 0.4.32. (#1273)

改善:

• search コマンドのフィルタオプションを完全一致にするようにした。加えてフィルタオプションはワイルドカード対応をするようにした。 (#1240) (@hitenkoku)
• update-rulesコマンドを実行したときに、検知ルールが変更された場合にルール名を出力するようにした。以前はmodifiedフィールドを更新したルールだけが表示されていた。(#1243) (@hitenkoku)
• json-timelineコマンドの標準出力でJSONフォーマットを出力するように修正した。 (#1197) (@hitenkoku)
• JSON入力でデータが配列内にある場合に解析できるようにした。 (#1248) (@hitenkoku)
• 古いターミナルでも正しく表示されるように、また読みやすくするために、‖区切り文字を·区切り文字に変更した。(#1258) (@YamatoSecurity)
• General Optionsに-h, --helpオプションを追加した。 (#1255) (@hitenkoku)
• json-timelineコマンドのDetailsの出力で、要素がアルファベット順に並んでいたのをルールに記載されているオリジナルの順番に変更した。 (#1264) (@hitenkoku)
• ルールをロードする必要のないコマンドを実行した場合、検出ルールのロードをスキップするようにした。 (#1263) (@hitenkoku)
• csv-timelineコマンドの標準出力のカラー出力ルールを変更した。 (#1271) (@hitenkoku)
• リファクタリングとパフォーマンスの改善。(#1268, #1260) (@hach1yon)

バグ修正:

• searchコマンドの出力に入っている不要な改行文字を削除した。 (#1253) (@hitenkoku)
• no-colorオプション使用時のプログレスバーとウィザードのカラー出力を修正した。 (#1256) (@hitenkoku)
• ローカルのタイムゾーンを特定できない場合にパニックが発生する問題を修正した。chronoクレートのバージョン0.4.32で修正された。(#1273)

v2.12.0 🦅

2.12.0 [2023/12/23] "SECCON Christmas Release"

Enhancements:

• %MitreTactics%, %MitreTags%, %OtherTags% fields are now outputted as an array of strings in JSON output. (#1230) (@hitenkoku)
• Added a summary of MITRE ATT&CK tactics that were detected for each computer in the HTML report. In order to use this feature, you need to use a profile that includes the %MitreTactics% field. (#1226) (@hitenkoku)
• Output messages about reporting issues and false positives when using csv-timeline or json-timeline commands. (#1236) (@hitenkoku)

Bug Fixes:

• In JSON output, multiple field names with the same names were not outputted as an array so only one result would be returned when parsing with jq. We fixed this by outputting multiple field data with the same field name inside an array. (#1202) (@hitenkoku)
• Fixed a bug in the csv-timeline, json-timeline, eid-metrics, logon-summary, pivot-keywords-list and search commands so that Hayabusa will quit whenever no input option (-l, -f or -d) is specified. (#1235) (@hitenkoku)

改善:

• JSON出力において、MitreTactics、MitreTags, OtherTagsの出力を要素ごとに文字列で出力させるように修正した。 (#1230) (@hitenkoku)
• 検知した端末に対してMITRE ATT&CKの戦術をHTMLレポートに出力できるようにした。この機能を利用するためには利用したプロファイルに%MitreTactics%が存在する必要がある。 (#1226) (@hitenkoku)
• csv-timelineまたはjson-timelineコマンドが利用されたときにissueやpull-requestの連絡先についてのメッセージを追加した。 (#1236) (@hitenkoku)

バグ修正:

• JSON出力において、同じ名前の複数のフィールド名が配列として出力されないため、jqでパースすると1つの結果しか返されなかった。同じフィールド名を持つ複数のフィールドデータを配列内に出力することで修正した。 (#1202) (@hitenkoku)
• csv-timeline、json-timeline、eid-metrics、logon-summary、pivot-keywords-list、searchコマンドで調査対象ファイルの指定オプション(-l、 -f、 -d)が存在しないときに処理が実行されないように修正した。 (#1235) (@hitenkoku)

v2.11.0 🦅

2.11.0 [2023/12/04] "Nasi Lemak Release"

New Features:

• Extraction of fields from PowerShell classic logs. (Can disable with --no-pwsh-field-extraction) (#1220) (@fukusuket)

Enhancements:

• Added rule count in the scan wizard. (#1206) (@hitenkoku)

新機能:

• PowerShell classicログのフィールドを抽出するようにした。(--no-pwsh-field-extractionで無効化できる) (#1220) (@fukusuket)

改善:

• スキャンウィザードにルール数を追加した. (#1206) (@hitenkoku)

v2.10.1 🦅

2.10.1 [2023/11/13] "Kamemushi-Tsubushi (Bug-Fix) Release"

Enhancements:

• Added questions to the scan wizard. (#1207) (@hitenkoku)

Bug Fixes:

• update-rules command would output You currently have the latest rules even if new rules were downloaded in version 2.10.0. (#1209) (@fukusuket)
• Regular expressions would sometimes be incorrectly handled. (#1212) (@fukusuket)
• In the rare case that there is no Data field such as for JSON input, a panic would occur. (#1215) (@fukusuket)

改善:

• スキャンウィザードに質問を追加した。 (#1207) (@hitenkoku)

バグ修正:

• バージョン2.10.0のupdate-rulesコマンドでは、新しいルールがダウンロードされても、You currently have the latest rulesというメッセージを出力していた。 (#1209) (@fukusuket)
• 正規表現が正しく処理されない場合があった。 (#1212) (@fukusuket)
• JSON入力等にDataフィールドが存在しない場合、パニックが発生していた。(#1215) (@fukusuket)

v2.10.0 🦅

2.10.0 [2023/10/31] "Halloween Release"

🦅 Enhancements:

• Added a scan wizard to help new users choose which rules they want to enable. Add the -w, --no-wizard option to run Hayabusa in the traditional way. (Scan for all events and alerts, and customize options manually.) (#1188) (@hitenkoku)
• Added the --include-tag option to the pivot-keywords-list command to only load rules with the specified tags field. (#1195) (@hitenkoku)
• Added the --exclude-tag option to the pivot-keywords-list command to exclude rules with specific tags from being loaded. (#1195) (@hitenkoku)

🐛 Bug Fixes:

• Fixed that field information defined in Details was also output to ExtraFieldInfo in some cases. (#1145) (@hitenkoku)
• Fixed output of newline and tab characters in AllFieldInfo in JSON output. (#1189) (@hitenkoku)
• Fixed output of space characters in some fields in standard output. (#1192) (@hitenkoku)

🦅 改善:

• 初心者のユーザのために有効にしたいルールを選択するようにスキャンウィザードを追加した。-w, --no-wizardオプションを追加すると、従来の形式でHayabusaを実行できる。(すべてのイベントとアラートをスキャンし、オプションを手動でカスタマイズする） (#1188) (@hitenkoku)
• pivot-keywords-listコマンドに--include-tagオプションを追加し、指定したtagsフィールドを持つルールのみをロードするようにした。(#1195) (@hitenkoku)
• pivot-keywords-listコマンドに--exclude-tagオプションを追加し、指定したtagsフィールドを持つルールをロードしないようにした。(#1195) (@hitenkoku)

🐛 バグ修正:

• まれにJSONフィールドが正しくパースされない状態を修正した。(#1145) (@hitenkoku)
• JSON出力で、AllFieldInfoは改行文字とタブ文字を除去していたが、出力するように修正した。 (#1189) (@hitenkoku)
• 標準出力のいくつかのフィールドでスペースが削除されて見づらくなっていたのを修正した。 (#1192) (@hitenkoku)

v2.9.0 🦅

2.9.0 [2023/09/22] "Autumn Rain Release"

Enhancements:

• Added an error message to indicate that when you can't load evtx files in Windows due to specifying a directory path with spaces in it, you need to remove the trailing backslash. (#1166) (@hitenkoku, thanks for the suggestion from @joswr1ght)
• Optimized the number of records to load at a time for performance. (#1175) (@YamatoSecurity)
• Replaced double backslashes in paths under the progress bar on Windows systems with single forward slashes. (#1172) (@hitenkoku)
• Made the Details field for count rules a string in the JSON output for easier parsing. (#1179) (@hitenkoku)
• Changed the default number of threads from number of CPUs to the estimate of the default amount of parallelism a program should use (std::thread::available_parallelism). (#1182) (@hitenkoku)

Bug Fixes:

• Fixed JSON fields would not be correctly parsed in rare cases. (#1145) (@hitenkoku)

Other:

• Removed the unmaintained hhmmss crate that uses an old time crate in order to pass the code coverage CI checks. (#1181) (@hitenkoku)

改善:

• ディレクトリパスの指定にバックスラッシュを使用すべきではないことを示すエラーメッセージを追加した。 (#1166) (@hitenkoku, 提案者: @joswr1ght)
• 一度に読み込むレコード数の最適化。(#1175) (@YamatoSecurity)
• プログレスバー内にあるバックスラッシュの表示をスラッシュに変更した。 (#1172) (@hitenkoku)
• JSON形式で出力する際に、countルールのDetailsフィールドを文字列にし、パースしやすくした。(#1179) (@hitenkoku)
• デフォルトのスレッド数をCPU数から、プログラムが使用すべきデフォルトの並列度の推定値(std::thread::available_parallelism)に変更した。(#1182) (@hitenkoku)

バグ修正:

• まれにJSONフィールドが正しくパースされない状態を修正した。(#1145) (@hitenkoku)

その他:

• CIを通すためにtimeクレートを利用している更新されていないhhmmssクレートを除外した。 (#1181) (@hitenkoku)

v2.8.0 🦅

2.8.0 [2023/09/01] "Double X Release"

New Features:

• Added support for HexToDecimal in the field mapping configuration files to convert hex values to decimal. (Useful for converting the original process IDs from hex to decimal.) (#1133) (@fukusuket)
• Added -x, --recover-records option to csv-timeline and json-timeline to recover evtx records through file carving in evtx slack space. (#952) (@hitenkoku) (Evtx carving feature is thanks to @forensicmatt)
• Added -X, --remove-duplicate-detections option to csv-timeline and json-timeline to not output any duplicate detection entries. (Useful when you use -x, include backup logs or logs extracted from VSS with duplicate data, etc...)
• Added a --timeline-offset option to csv-timeline, json-timeline, logon-summary, eid-metrics, pivot-keywords-list and search commands to scan just recent events based on a offset of years, months, days, hours, etc... (#1159) (@hitenkoku)
• Added a -a, --and-logic option in the search command to search keywords with AND logic. (#1162) (@hitenkoku)

Other:

• When using -x, --recover-records, an additional %RecoveredRecord% field will be added to the output profile and will output Y to indicate if a record was recovered. (#1160) (@hitenkoku)

新機能:

• フィールドマッピング設定に16進数値を10進数に変換するHexToDecimal機能に対応した。 (元の16進数のプロセスIDを変換するのに便利。) (#1133) (@fukusuket)
• csv-timelineとjson-timelineに-x, --recover-recordsオプションを追加し、evtxレコードの空領域でのファイルカービングによってevtxレコードを復元できるようにした。(#952) (@hitenkoku) (Evtxカービング機能は@forensicmattに実装された。)
• csv-timelineとjson-timelineに-X, --remove-duplicate-detectionsオプションを追加した。(-xを使用する場合、重複データのあるバックアップログを含める場合などに便利。) (#1157) (@fukusuket)
• csv-timeline、json-timeline、logon-summary、eid-metrics、pivot-keywords-list、searchコマンドに、直近のイベントだけをスキャンするための--timeline-offsetオプションを追加した。 (#1159) (@hitenkoku)
• searchコマンドに-a, --and-logicオプションを追加し、複数のキーワードをAND条件で検索できるようにした。 (#1162) (@hitenkoku)

その他:

• 出力プロファイルに、回復されたかどうかを示す %RecoveredRecord% フィールドを追加した。 (#1170) (@hitenkoku)

v2.7.0 🦅

v2.7.0 "SANS DFIR Summit Release"

🦅 New Features:

• Certain code numbers are now mapped to human-readable messages based on the .yaml config files in ./rules/config/data_mapping. (Example: %%2307 will be converted to ACCOUNT LOCKOUT). You can turn off this behavior with the -F, --no-field-data-mapping option. (#177) (@fukusuket)
• Added the -R, --remove-duplicate-data option in the csv-timeline command to replace duplicate field data with the string DUP in the %Details%, %AllFieldInfo%, %ExtraFieldInfo% columns to reduce file size. (#1056) (@hitenkoku)
• Added the -R, --remove-duplicate-data option to the json-timeline command to replace duplicate field data with the string DUP in the %Details%, %AllFieldInfo%, %ExtraFieldInfo% fields to reduce file size. (#1134) (@hitenkoku)
• Added the -P, --proven-rules option in csv-timeline and json-timeline commands. When used, Hayabusa will only load rules that have been proven to work. These are defined by rule ID in the ./rules/config/proven_rules.txt config file. (#1115) (@hitenkoku)
• Added the --include-tag option to csv-timeline and json-timeline commands to only load rules with the specified tags field. (#1108) (@hitenkoku)
• Added the --exclude-tag option to csv-timeline and json-timeline commands to exclude rules with specific tags from being loaded. (#1118) (@hitenkoku)
• Added --include-category and --exclude-category options to csv-timeline and json-timeline commands. When using --include-category, only rules with the specified category field will be loaded. --exclude-category will exclude rules from being loaded based on category. (#1119) (@hitenkoku)
• Added the computer-metrics command to list up how many events there are based on computer name. (#1116) (@hitenkoku)
• Added --include-computer and --exclude-computer options to csv-timeline, json-timeline, metrics, logon-summary and pivot-keywords-list commands. The --include-computer option only scans the specified computer(s). --exclude-computer excludes them. (#1117) (@hitenkoku)
• Added --include-eid and --exclude-eid options to csv-timeline, json-timeline, and pivot-keywords-list commands. The --include-eid option only scans the specified EventID(s). --exclude-eid excludes them. (#1130) (@hitenkoku)

🦅 Enhancements:

• Ignore corrupted event records with timestamps before 2007/1/31 when Windows Vista was released with the new .evtx log format. (#1102) (@fukusuket)
• When --output is set in the metrics command, the results will not be displayed to screen. (#1099) (@hitenkoku)
• Added the -C, --clobber option to overwrite existing output files in the pivot-keywords-list command. (#1125) (@hitenkoku)
• Renamed the metrics command to eid-metrics. (#1128) (@hitenkoku)
• Reduced progress bar width to leave room for adjustment of the terminal. (#1135) (@hitenkoku)
• Added support for outputing timestamps in the following formats in the search command: --European-time, --ISO-8601, --RFC-2822, --RFC-3339, --US-time, --US-military-time, -U, --UTC. (#1040) (@hitenkoku)
• Replaced the ETA time in the progress bar with elapsed time as the ETA time was not accurate. (#1143) (@YamatoSecurity)
• Added --timeline-start and --timeline-end to the logon-summary command. (#1152) (@hitenkoku)

🐛 Bug Fixes:

• The total number of records being displayed in the metrics and logon-summary commands differed from the csv-timeline command. (#1105) (@hitenkoku)
• Changed rule count by rule ID instead of path. (#1113) (@hitenkoku)
• --timeline-start and --timeline-end were not working correctly with the json-timeline command. (#1148) (@hitenkoku)
• --timeline-start and --timeline-end were not working correctly with the pivot-keywords-list command. (#1150) (@hitenkoku)

Other:

• The total count of unique detections are now based on rule IDs instead of rule file paths. (#1111) (@hitenkoku)
• Renamed the --live_analysis option to --live-analysis. (#1139) (@hitenkoku)
• Renamed the metrics command to eid-metrics. (#1128) (@hitenkoku)

変更点

🦅 新機能:

• ./rules/config/data_mappingにある.yaml設定ファイルに基づいて、特定のコード番号が人間が読めるメッセージにマッピングされるようになった。(例:%%2307は、ACCOUNT LOCKOUTに変換される)。この動作は-F, --no-field-data-mappingオプションで無効にできる。(#177) (@fukusuket)
• csv-timelineコマンドに-R, --remove-duplicate-dataオプションを追加し、%Details%、%AllFieldInfo%、%ExtraFieldInfo%列の重複フィールドデータをDUPという文字列に変換し、ファイルサイズの削減を行う。(#1056) (@hitenkoku)
• json-timelineコマンドに-R, --remove-duplicate-dataオプションを追加し、%Details%、%AllFieldInfo%、%ExtraFieldInfo%フィールドの重複フィールドデータをDUPという文字列に変換し、ファイルサイズの削減を行う。(#1134) (@hitenkoku)
• csv-timelineとjson-timelineコマンドに-P, --proven-rulesオプションを追加した。有効にすると、検知が証明されたルールしかロードされない。ロードされるルールは、./rules/config/proven_rules.txtの設定ファイルにルールIDで定義されている。 (#1115) (@hitenkoku)
• csv-timelineとjson-timelineコマンドに--include-tagオプションを追加し、指定したtagsフィールドを持つルールのみをロードするようにした。(#1108) (@hitenkoku)
• csv-timelineとjson-timelineコマンドに--exclude-tagオプションを追加し、指定したtagsフィールドを持つルールをロードしないようにした。(#1118) (@hitenkoku)
• csv-timelineとjson-timelineコマンドに--include-categoryと--exclude-categoryオプションを追加した。include-categoryは、指定されたcategoryフィールドのルールのみをロードする。--exclude-categoryは、指定されたcategoryフィールドを持つルールをロードしない。 (#1119) (@hitenkoku)
• コンピュータ名に基づくイベント数をリストアップするcomputer-metricsコマンドを追加した。(#1116) (@hitenkoku)
• csv-timeline、json-timeline、metrics、logon-summary、pivot-keywords-listコマンドに--include-computerと--exclude-computerオプションを追加した。include-computerは、指定されたcomputerの検知のみを出力する。--exclude-computerは、指定されたcomputerの検知を除外する。 (#1117) (@hitenkoku)
• csv-timeline、json-timeline、pivot-keywords-listコマンドに--include-eidと--exclude-eidオプションを追加した。include-eidは、指定されたEventIDのみを検知対象とする。--exclude-eidは、指定されたEventIDを検知対象から除外する。 (#1130) (@hitenkoku)

🦅 改善:

• 新しいログ形式の.evtxを使用するWindows Vistaがリリースされた2007年1月31日以前のタイムスタンプを持つ破損されたイベントレコードを無視するようにした。(#1102) (@fukusuket)
• metricsコマンドで--outputオプションを指定した時に標準出力に結果を表示しないように変更した。 (#1099) (@hitenkoku)
• csv-timeline コマンドと json-timeline コマンドに --tags オプションを追加し、指定した tags フィールドを持つルールのみでスキャンできるようにした。(#1108) (@hitenkoku)
• pivot-keywords-listコマンドに対して、出力ファイルを上書きするための-C, --clobberオプションを追加した。 (#1125) (@hitenkoku)
• metricsコマンドをeid-metricsに変更した。 (#1128) (@hitenkoku)
• 端末の調整に余裕を持たせるため、プログレスバーの幅を減らした。 (#1135) (@hitenkoku)
• searchコマンドで出力時間フォーマットのオプションをサポートした。(--European-time, --ISO-8601, --RFC-2822, --RFC-3339, --US-time, --US-military-time, -U, --UTC) (#1040) (@hitenkoku)
• プログレスバーのETA時間が正確でなかったため、経過時間に置き換えた。 (#1143) (@YamatoSecurity)
• logon-summaryコマンドで--timeline-startと--timeline-endオプションを追加した。 (#1152) (@hitenkoku)

🐛バグ修正:

• metricsとlogon-summaryコマンドのレコード数の表示がcsv-timelineのコマンドでのレコード数の表示と異なっている状態を修正した。 (#1105) (@hitenkoku)
• パスの代わりにルールIDでルール数を数えるように変更した。 (#1113) (@hitenkoku)
• json-timelineコマンドで--timeline-startと--timeline-endオプションが動作しなかったのを修正した。 (#1148) (@hitenkoku)
• pivot-keywords-listコマンドで--timeline-startと--timeline-endオプションが動作しなかったのを修正した。 (#1150) (@hitenkoku)

その他:

• ルールのIDベースでユニークな検出数をカウントするように修正した。 (#1111) (@hitenkoku)
• --live_analysisオプションを--live-analysisに変更した。 (#1139) (@hitenkoku)
• metricsコマンドをeid-metricsに変更した。 (#1128) (@hitenkoku)