From 479701ddb33e1e23bada13683edaef11b0876c53 Mon Sep 17 00:00:00 2001 From: Tanaka Zakku <71482215+YamatoSecurity@users.noreply.github.com> Date: Wed, 22 Dec 2021 08:26:09 +0900 Subject: [PATCH] id filter section update --- README-English.md | 10 +++++----- README-Japanese.md | 8 ++++---- 2 files changed, 9 insertions(+), 9 deletions(-) diff --git a/README-English.md b/README-English.md index d293445d..c9d59afc 100644 --- a/README-English.md +++ b/README-English.md @@ -263,12 +263,12 @@ You can add a rule ID (Example: `4fe151c2-ecf9-4fae-95ae-b88ec9c2fca6`) to `conf You can also add a rule ID to `config/noisy-rules.txt` in order to ignore the rule by default but still be able to use the rule with the `-n` or `--enable-noisy-rules` option. ## Event ID filtering -In order to increase performance, by default, hayabusa will only analyze Event IDs listed in `config/target_eventids.txt`. -This list was created from all of the `EventID` fields in all of the rules. +You can filter on event IDs by placing event ID numbers in `config/target_eventids.txt`. +This will increase performance so it is recommended if you only need to search for certain IDs. -> Caution: You may miss detections if a rule didn't define an `EventID` field and it is not listed in `config/target_eventids.txt`. If you need to do the most thorough scan, please make a backup copy of this file and delete the contents in order to scan all event records. - -If you want to only search for certain IDs, you can greatly improve performance by filtering them by editing this file. +We have provided a sample ID filter list at `config/target_eventids_sample.txt` created from the `EventID` field in all of the rules as well as IDs seen in actual results. + +Please use this list if you want the best performance but be aware that there is a slight possibility for false positives. # Other Windows event log analyzers and related projects There is no "one tool to rule them all" and we have found that each has its own merits so we recommend checking out these other great tools and projects and seeing which ones you like. diff --git a/README-Japanese.md b/README-Japanese.md index b3fc24c5..8eddc270 100644 --- a/README-Japanese.md +++ b/README-Japanese.md @@ -265,12 +265,12 @@ Sigmaルールは、最初にHayabusaルール形式に変換する必要があ ルールIDを `config/noisy-rules.txt`に追加して、デフォルトでルールを無視することもできますが、` -n`または `--enable-noisy-rules`オプションを指定してルールを使用することもできます。 ## イベントIDフィルタリング -パフォーマンスを上げるために、デフォルトではHayabusaは `config/target_eventids.txt`にあるイベントIDのみを解析します。 -このリストは、すべてのルールの`EventID`フィールドから作成されました。 +`config/target_eventids.txt`にイベントID番号を追加することで、イベントIDでフィルタリングすることができます。 +これはパフォーマンスを向上させるので、特定のIDだけを検索したい場合に推奨されます。 -> 注意: ルールで`EventID`フィールドが定義されていない場合は、`config/target_eventids.txt`にID番号が入っていない可能性があります。その場合は、検知漏れになる恐れがあります。最も徹底的なスキャンを行う必要がある場合は、すべてのイベントログをスキャンするために、このファイルをバックアップして、内容を削除してください。 +すべてのルールの`EventID`フィールドと実際のスキャン結果で見られるIDから作成したIDフィルタリストのサンプルを`config/target_eventids_sample.txt`で提供しています。 -特定のイベントIDだけを検索したい場合は、このファイルを編集してイベントIDをフィルタリングすることで、パフォーマンスを大幅に向上させることができます。 +最高のパフォーマンスを得たい場合はこのリストを使用してください。ただし、誤検出の可能性が若干あることにご注意ください。 # その他のWindowsイベントログ解析ツールおよび関連プロジェクト 「すべてを統治する1つのツール」というものはなく、それぞれにメリットがあるため、これらの他の優れたツールやプロジェクトをチェックして、どれが気に入ったかを確認することをお勧めします。