readme update

2022-07-01 07:27:46 +09:00
parent 19da792271
commit 411ebcadfb
3 changed files with 53 additions and 11 deletions
--- a/README-Japanese.md
+++ b/README-Japanese.md
@@ -49,7 +49,7 @@ Hayabusaは、日本の[Yamato Security](https://yamatosecurity.connpass.com/)
  - [macOSでのコンパイルの注意点](#macosでのコンパイルの注意点)
  - [Linuxでのコンパイルの注意点](#linuxでのコンパイルの注意点)
 - [Hayabusaの実行](#hayabusaの実行)
-  - [注意: アンチウィルス/EDRの誤検知](#注意-アンチウィルスedrの誤検知)
+  - [注意: アンチウィルス/EDRの誤検知と遅い初回実行](#注意-アンチウィルスedrの誤検知と遅い初回実行)
  - [Windows](#windows)
  - [Linux](#linux)
  - [macOS](#macos)
@@ -255,16 +255,17 @@ sudo yum install openssl-devel

 # Hayabusaの実行

-## 注意: アンチウィルス/EDRの誤検知
+## 注意: アンチウィルス/EDRの誤検知と遅い初回実行

 Hayabusa実行する際や、`.yml`ルールのダウンロードや実行時にルール内でdetectionに不審なPowerShellコマンドや`mimikatz`のようなキーワードが書かれている際に、アンチウィルスやEDRにブロックされる可能性があります。
 誤検知のため、セキュリティ対策の製品がHayabusaを許可するように設定する必要があります。
 マルウェア感染が心配であれば、ソースコードを確認した上で、自分でバイナリをコンパイルして下さい。

+Windows PC起動後の初回実行時に時間がかかる場合があります。これはWindows Defenderのリアルタイムスキャンが行われていることが原因です。リアルタイムスキャンを無効にするかHayabusaのディレクトリをアンチウィルススキャンから除外することでこの現象は解消しますが、設定を変える前にセキュリティリスクを十分ご考慮ください。
+
 ## Windows

 コマンドプロンプトやWindows Terminalから32ビットもしくは64ビットのWindowsバイナリをHayabusaのルートディレクトリから実行します。
-PC起動後の初回実行時に時間がかかります。これはWindows Defenderのリアルタイムスキャンが行われていることが原因です。リアルタイムスキャンをoff`にすることでこの現象は解消しますが、おすすめしません。

 例: `hayabusa-1.4.1-windows-x64.exe`

@@ -495,8 +496,6 @@ Hayabusaをテストしたり、新しいルールを作成したりするため
 git clone https://github.com/Yamato-Security/hayabusa-sample-evtx.git
 ```

-> ※ 以下の例でHayabusaを試したい方は、上記コマンドをhayabusaのルートフォルダから実行してください。
-
 # Hayabusaの出力

 Hayabusaの結果を標準出力に表示しているとき（デフォルト）は、以下の情報を表示します:
--- a/README.md
+++ b/README.md
@@ -48,7 +48,7 @@ Hayabusa is a **Windows event log fast forensics timeline generator** and **thre
  - [macOS Compiling Notes](#macos-compiling-notes)
  - [Linux Compiling Notes](#linux-compiling-notes)
 - [Running Hayabusa](#running-hayabusa)
-  - [Caution: Anti-Virus/EDR Warnings](#caution-anti-virusedr-warnings)
+  - [Caution: Anti-Virus/EDR Warnings and Slow Runtimes](#caution-anti-virusedr-warnings-and-slow-runtimes)
  - [Windows](#windows)
  - [Linux](#linux)
  - [macOS](#macos)
@@ -251,16 +251,17 @@ sudo yum install openssl-devel

 # Running Hayabusa

-## Caution: Anti-Virus/EDR Warnings
+## Caution: Anti-Virus/EDR Warnings and Slow Runtimes

 You may receive an alert from anti-virus or EDR products when trying to run hayabusa or even just when downloading the `.yml` rules as there will be keywords like `mimikatz` and suspicious PowerShell commands in the detection signature.
 These are false positives so will need to configure exclusions in your security products to allow hayabusa to run.
 If you are worried about malware or supply chain attacks, please check the hayabusa source code and compile the binaries yourself.

+You may experience slow runtime especially on the first run after a reboot due to the real-time protection of Windows Defender. You can avoid this by temporarily turning real-time protection off or adding an exclusion to the hayabusa runtime directory. (Please take into consideration the security risks before doing these.)
+
 ## Windows

-In Command Prompt or Windows Terminal, just run the 32-bit or 64-bit Windows binary from the hayabusa root directory.  
-Note: Slow at first run after PC boot is due to the real-time protection of Windows Defender. You can avoid it by doing real-time protection off, but we don't recommend it.
+In a Command/PowerShell Prompt or Windows Terminal, just run the appropriate 32-bit or 64-bit Windows binary.  

 Example: `hayabusa-1.4.1-windows-x64.exe`

@@ -492,8 +493,6 @@ You can download the sample evtx files to a new `hayabusa-sample-evtx` sub-direc
 git clone https://github.com/Yamato-Security/hayabusa-sample-evtx.git
 ```

-> Note: You need to run the binary from the Hayabusa root directory. 
-
 # Hayabusa Output

 When hayabusa output is being displayed to the screen (the default), it will display the following information:
--- a/config/profiles.txt
+++ b/config/profiles.txt
@@ -0,0 +1,44 @@
+minimal:
+    Timestamp: %Timestamp%
+    Computer: %Computer%
+    Channel: %Channel%
+    EventID: %EventID%
+    Level: %Level%
+    RuleTitle: %RuleTitle%
+    Details: %Details%
+
+default:
+    Timestamp: %Timestamp%
+    Computer: %Computer%
+    Channel: %Channel%
+    EventID: %EventID%
+    Level: %Level%
+    Tags: %MitreAttack%
+    RecordID: %RecordID%
+    RuleTitle: %RuleTitle%
+    Details: %Details%
+
+verbose-1:
+    Timestamp: %Timestamp%
+    Computer: %Computer%
+    Channel: %Channel%
+    EventID: %EventID%
+    Level: %Level%
+    Tags: %MitreAttack%
+    RecordID: %RecordID%
+    RuleTitle: %RuleTitle%
+    Details: %Details%
+    RulePath: %RulePath%
+    FilePath: %FilePath%
+
+verbose-2:
+    Timestamp: %Timestamp%
+    Computer: %Computer%
+    Channel: %Channel%
+    EventID: %EventID%
+    Level: %Level%
+    Tags: %MitreAttack%
+    RecordID: %RecordID%
+    RuleTitle: %RuleTitle%
+    Details: %Details%
+    AllFieldInfo: %RecordInformation%