diff --git a/README-Japanese.md b/README-Japanese.md index 61f87d47..0cc5967d 100644 --- a/README-Japanese.md +++ b/README-Japanese.md @@ -506,7 +506,7 @@ Hayabusaの結果を標準出力に表示しているとき(デフォルト) * `Level`: YML検知ルールの`level`フィールドから来ています。(例:`informational`, `low`, `medium`, `high`, `critical`) デフォルトでは、すべてのレベルのアラートとイベントが出力されますが、`-m`オプションで最低のレベルを指定することができます。例えば`-m high`オプションを付けると、`high`と`critical`アラートしか出力されません。 * `Title`: YML検知ルールの`title`フィールドから来ています。 * `RecordID`: イベントレコードIDです。``フィールドから来ています。`-R`もしくは`--hide-record-id`オプションを付けると表示されません。 -* `Details`: YML検知ルールの`details`フィールドから来ていますが、このフィールドはHayabusaルールにしかありません。このフィールドはアラートとイベントに関する追加情報を提供し、ログの``部分から有用なデータを抽出することができます。イベントキーのマッピングが間違っている場合、もしくはフィールドが存在しない場合で抽出ができなかった箇所は`n/a` (not available)と記載されます。YML検知ルールに`details`フィールドが存在しない時のdetailsのメッセージを`rules/config/default_details.txt`で設定できます。`default_details.txt`では`Event ID`と``の組み合わせで設定することができます。 +* `Details`: YML検知ルールの`details`フィールドから来ていますが、このフィールドはHayabusaルールにしかありません。このフィールドはアラートとイベントに関する追加情報を提供し、ログの``部分から有用なデータを抽出することができます。イベントキーのマッピングが間違っている場合、もしくはフィールドが存在しない場合で抽出ができなかった箇所は`n/a` (not available)と記載されます。YML検知ルールに`details`フィールドが存在しない時のdetailsのメッセージを`rules/config/default_details.txt`で設定できます。`default_details.txt`では`Event ID`と``の組み合わせで設定することができます。 CSVファイルとして保存する場合、以下の列が追加されます: diff --git a/README.md b/README.md index 87fd5d0f..dad66f3e 100644 --- a/README.md +++ b/README.md @@ -505,7 +505,7 @@ When hayabusa output is being displayed to the screen (the default), it will dis * `Level`: This comes from the `level` field in the YML detection rule. (`informational`, `low`, `medium`, `high`, `critical`) By default, all level alerts will be displayed but you can set the minimum level with `-m`. For example, you can set `-m high`) in order to only scan for and display high and critical alerts. * `RecordID`: This comes from the `` field in the event log. You can hidde this output with the `-R` or `--hide-record-id` option. * `Title`: This comes from the `title` field in the YML detection rule. -* `Details`: This comes from the `details` field in the YML detection rule, however, only hayabusa rules have this field. This field gives extra information about the alert or event and can extract useful data from the `` portion of the log. For example, usernames, command line information, process information, etc... When a placeholder points to a field that does not exist or there is an incorrect alias mapping, it will be outputted as `n/a` (not available). You can set default details in `default_details.txt` when no `details` field in YML detecion rule. In `default_details.txt`, `Event ID` and `` condition is set. +* `Details`: This comes from the `details` field in the YML detection rule, however, only hayabusa rules have this field. This field gives extra information about the alert or event and can extract useful data from the `` portion of the log. For example, usernames, command line information, process information, etc... When a placeholder points to a field that does not exist or there is an incorrect alias mapping, it will be outputted as `n/a` (not available). You can set default details in `default_details.txt` when no `details` field in YML detecion rule. In `default_details.txt`, `Event ID` and `` condition is set. The following additional columns will be added to the output when saving to a CSV file: diff --git a/src/detections/detection.rs b/src/detections/detection.rs index f32e686b..590044c6 100644 --- a/src/detections/detection.rs +++ b/src/detections/detection.rs @@ -237,7 +237,7 @@ impl Detection { let ch_str = &get_serde_number_to_string(&record_info.record["Event"]["System"]["Channel"]) .unwrap_or_default(); let provider = - &get_serde_number_to_string(&record_info.record["Event"]["System"]["Provider Name"]) + &get_serde_number_to_string(&record_info.record["Event"]["System"]["ProviderName"]) .unwrap_or_default(); let eid = get_serde_number_to_string(&record_info.record["Event"]["System"]["EventID"]) .unwrap_or_else(|| "-".to_owned());