From 20c4aee9417f21e4ef5a7253fc17636e283a0cf1 Mon Sep 17 00:00:00 2001 From: DustInDark Date: Thu, 9 Jun 2022 02:37:32 +0900 Subject: [PATCH] fixed document #487 --- README-Japanese.md | 2 +- README.md | 2 +- 2 files changed, 2 insertions(+), 2 deletions(-) diff --git a/README-Japanese.md b/README-Japanese.md index a1858351..d120d2c6 100644 --- a/README-Japanese.md +++ b/README-Japanese.md @@ -497,7 +497,7 @@ Hayabusaの結果を標準出力に表示しているとき(デフォルト) * `Level`: YML検知ルールの`level`フィールドから来ています。(例:`informational`, `low`, `medium`, `high`, `critical`) デフォルトでは、すべてのレベルのアラートとイベントが出力されますが、`-m`オプションで最低のレベルを指定することができます。例えば`-m high`オプションを付けると、`high`と`critical`アラートしか出力されません。 * `Title`: YML検知ルールの`title`フィールドから来ています。 * `Details`: YML検知ルールの`details`フィールドから来ていますが、このフィールドはHayabusaルールにしかありません。このフィールドはアラートとイベントに関する追加情報を提供し、ログの``部分から有用なデータを抽出することができます。イベントキーのマッピングが間違っている場合、もしくはフィールドが存在しない場合で抽出ができなかった箇所は`n/a` (not available)と記載されます。 -以下のように`Data`レコードが複数存在するときに、複数データの中から特定の情報を取得することができます。(例: 以下のイベントデータで`a`を出力したい場合`%Data[1]%`をdetailsに記載してください) +以下のように`Data`レコードが複数存在するときに、複数データの中から特定の情報を取得することができます。(例: 以下のイベントデータで`....exe`を出力したい場合`%Data[1]%`をdetailsに記載してください) ```xml diff --git a/README.md b/README.md index 2d807f06..62163cdb 100644 --- a/README.md +++ b/README.md @@ -498,7 +498,7 @@ When hayabusa output is being displayed to the screen (the default), it will dis * `Details`: This comes from the `details` field in the YML detection rule, however, only hayabusa rules have this field. This field gives extra information about the alert or event and can extract useful data from the `` portion of the log. For example, usernames, command line information, process information, etc... When a placeholder points to a field that does not exist or there is an incorrect alias mapping, it will be outputted as `n/a` (not available). You can specify field data from multi `Data` record in details specified. (ex. `%Data[1]%`) -Note: If you want to output `a` in following eventdata, you would specify `%Data[1]%` in details. +Note: If you want to output `....exe` in following eventdata, you would specify `%Data[1]%` in details. ```xml