From 5fdcd40179df224f3ba025087fc05652dd14d4ac Mon Sep 17 00:00:00 2001 From: Tanaka Zakku <71482215+YamatoSecurity@users.noreply.github.com> Date: Wed, 2 Mar 2022 17:02:19 +0900 Subject: [PATCH] usage update --- README-Japanese.md | 83 +++++++++++++++------------------------------- README.md | 56 +++++++++---------------------- 2 files changed, 41 insertions(+), 98 deletions(-) diff --git a/README-Japanese.md b/README-Japanese.md index a8036484..5d5255a3 100644 --- a/README-Japanese.md +++ b/README-Japanese.md @@ -123,13 +123,13 @@ CSVのタイムラインをExcelやTimeline Explorerで分析する方法は[こ * 現在、他の類似ツールに比べ最も多くのSigmaルールをサポートしており、カウントルールにも対応しています。 * イベントログの統計(どのような種類のイベントがあるのかを把握し、ログ設定のチューニングに有効です。) * 不良ルールやノイズの多いルールを除外するルールチューニング設定が可能です。 +* MITRE ATT&CKとのマッピング # 予定されている機能 * すべてのエンドポイントでの企業全体のスレットハンティング * 日本語対応 -* MITRE ATT&CK とのマッピング -* MITRE ATT&CK ヒートマップ生成機能 +* MITRE ATT&CKのヒートマップ生成機能 * ユーザーログオンと失敗したログオンのサマリー * JSONログからの入力 * JSONへの出力→Elastic Stack/Splunkへのインポート @@ -234,63 +234,32 @@ Windows Terminalからhayabusaを標準出力で解析させたい場合は、 ` ```bash USAGE: - -d --directory=[DIRECTORY] 'Directory of multiple .evtx files.' - -f --filepath=[FILEPATH] 'File path to one .evtx file.' - -r --rules=[RULEDIRECTORY/RULEFILE] 'Rule file or directory (default: ./rules)' - -c --color 'Output with color. (Terminal needs to support True Color.)' - -o --output=[CSV_TIMELINE] 'Save the timeline in CSV format. (example: results.csv)' - -v --verbose 'Output verbose information.' - -D --enable-deprecated-rules 'Enable sigma rules marked as deprecated.' - -n --enable-noisy-rules 'Enable rules marked as noisy.' - -u --update-rules 'Clone latest hayabusa-rule' - -m --min-level=[LEVEL] 'Minimum level for rules. (default: informational)' - -l --live-analysis 'Analyze to WINDIR\System32\winevt\Logs (Windows Only. Need Administrator privileges.)' - --start-timeline=[STARTTIMELINE] 'Start time of the event to load from event file. (example: '2018/11/28 12:00:00 +09:00')' - --end-timeline=[ENDTIMELINE] 'End time of the event to load from event file. (example: '2018/11/28 12:00:00 +09:00')' - --rfc-2822 'Output date and time in RFC 2822 format. (example: Mon, 07 Aug 2006 12:34:56 -0600)' - --rfc-3339 'Output date and time in RFC 3339 format. (example: 2006-08-07T12:34:56.485214 -06:00)' - -U --utc 'Output time in UTC format. (default: local time)' - -t --thread-number=[NUMBER] 'Thread number. (default: optimal number for performance.)' - -s --statistics 'Prints statistics of event IDs.' - -q --quiet 'Quiet mode. Do not display the launch banner.' - -Q --quiet-errors 'Quiet errors mode. Do not save error logs.' - --contributors 'Prints the list of contributors.' - -FLAGS: - -c, --color Output with color. (Terminal needs to support True Color.) - --contributors Prints the list of contributors. - -D, --enable-deprecated-rules Enable sigma rules marked as deprecated. - -n, --enable-noisy-rules Enable rules marked as noisy. - -h, --help Prints help information - -l, --live-analysis Analyze to WINDIR\System32\winevt\Logs (Windows Only. Need Administrator - privileges.) - -q, --quiet Quiet mode. Do not display the launch banner. - -Q, --quiet-errors Quiet errors mode. Do not save error logs. - --rfc-2822 Output date and time in RFC 2822 format. (example: Mon, 07 Aug 2006 12:34:56 -0600) - --rfc-3339 Output date and time in RFC 3339 format. (example: 2006-08-07T12:34:56.485214 - -06:00) - -s, --statistics Prints statistics of event IDs. - -u, --update-rules Clone latest hayabusa-rule - -U, --utc Output time in UTC format. (default: local time) - -V, --version Prints version information - -v, --verbose Output verbose information. - -OPTIONS: - -d, --directory Directory of multiple .evtx files. - --end-timeline End time of the event to load from event file. (example: '2018/11/28 - 12:00:00 +09:00') - -f, --filepath File path to one .evtx file. - -m, --min-level Minimum level for rules. (default: informational) - -o, --output Save the timeline in CSV format. (example: results.csv) - -r, --rules Rule file or directory (default: ./rules) - --start-timeline Start time of the event to load from event file. (example: '2018/11/28 - 12:00:00 +09:00') - -t, --thread-number Thread number. (default: optimal number for performance.) + -d --directory=[DIRECTORY] '複数の.evtxファイルのディレクトリ。' + -f --filepath=[FILEPATH] '1つの.evtxファイルへのファイルパス。' + -r --rules=[RULEFILE/RULEDIRECTORY] 'ルールファイルまたはディレクトリ。(デフォルト: ./rules)' + -c --color 'カラーで出力する。 (ターミナルはTrue Colorに対応する必要があある。)' + -o --output=[CSV_TIMELINE] 'タイムラインをCSV形式で保存する。(例: results.csv)' + -v --verbose '詳細な情報を出力する。' + -D --enable-deprecated-rules 'Deprecatedルールを有効にする。' + -n --enable-noisy-rules 'Noisyルールを有効にする。' + -u --update-rules 'hayabusa-rulesのgithubリポジトリにある最新のルールに更新する。' + -m --min-level=[LEVEL] 'ルールの最低レベル。(デフォルト: informational)' + -l --live-analysis 'ローカル端末のC:\Windows\System32\winevt\Logsフォルダを解析する。(Windowsのみ。管理者権限が必要。)' + --start-timeline=[STARTTIMELINE] 'ロードするイベントログの開始時刻。(例: '2018/11/28 12:00:00 +09:00')' + --end-timeline=[ENDTIMELINE] 'ロードするイベントログの終了時刻。(例: '2018/11/28 12:00:00 +09:00')' + --rfc-2822 'RFC 2822形式で日付と時刻を出力する。(例: Mon, 07 Aug 2006 12:34:56 -0600)' + --rfc-3339 'RFC 3339形式で日付と時刻を出力する。 (例: 2006-08-07T12:34:56.485214 -06:00)' + -U --utc 'UTC形式で日付と時刻を出力する。(デフォルト: 現地時間)' + -t --thread-number=[NUMBER] 'スレッド数。(デフォルト: パフォーマンスに最適な数値)' + -s --statistics 'イベント ID の統計情報を表示する。' + -q --quiet 'Quietモード。起動バナーを表示しない。' + -Q --quiet-errors 'Quiet errorsモード。エラーログを保存しない。' + --contributors 'コントリビュータの一覧表示。' ``` ## 使用例 -* 1 つのWindowsイベントログファイルに対してHayabusaを実行します: +* 1つのWindowsイベントログファイルに対してHayabusaを実行します: ```bash .\hayabusa.exe -f eventlog.evtx @@ -302,7 +271,7 @@ OPTIONS: .\hayabusa.exe -d .\hayabusa-sample-evtx ``` -* 1 つのCSVファイルにエクスポートして、EXCELやTimeline Explorerでさらに分析することができます: +* 1つのCSVファイルにエクスポートして、EXCELやTimeline Explorerでさらに分析することができます: ```bash .\hayabusa.exe -d .\hayabusa-sample-evtx -o results.csv @@ -341,7 +310,7 @@ OPTIONS: * ログオン情報を分析するルールのみを実行し、UTCタイムゾーンで出力します: ```bash -.\hayabusa.exe -d .\hayabusa-sample-evtx -r ./rules/Hayabusa/default/events/Security/Logons -u -o results.csv +.\hayabusa.exe -d .\hayabusa-sample-evtx -r ./rules/Hayabusa/default/events/Security/Logons -U -o results.csv ``` * 起動中のWindows端末上で実行し(Administrator権限が必要)、アラート(悪意のある可能性のある動作)のみを検知します: diff --git a/README.md b/README.md index 843bcd33..324a0a96 100644 --- a/README.md +++ b/README.md @@ -120,13 +120,13 @@ You can learn how to analyze CSV timelines in Excel and Timeline Explorer [here] * Sigma rule support to convert sigma rules to hayabusa rules * Currently it supports the most sigma rules compared to other similar tools and even supports count rules * Event log statistics (Useful for getting a picture of what types of events there are and for tuning your log settings) -* Rule tuning configuration by excluding bad rules or noisy rules +* Rule tuning configuration by excluding unneeded or noisy rules +* MITRE ATT&CK mapping # Planned Features * Enterprise-wide hunting on all endpoints * Japanese language support -* MITRE ATT&CK mapping * MITRE ATT&CK heatmap generation * User logon and failed logon summary * Input from JSON logs @@ -238,51 +238,25 @@ This is known Windows Terminal bug which will eventually be fixed but for the me USAGE: -d --directory=[DIRECTORY] 'Directory of multiple .evtx files.' -f --filepath=[FILEPATH] 'File path to one .evtx file.' - -r --rules=[RULEDIRECTORY/RULEFILE] 'Rule file or directory (default: ./rules)' + -r --rules=[RULEFILE/RULEDIRECTORY] 'Rule file or directory. (Default: ./rules)' -c --color 'Output with color. (Terminal needs to support True Color.)' - -o --output=[CSV_TIMELINE] 'Save the timeline in CSV format. (example: results.csv)' + -o --output=[CSV_TIMELINE] 'Save the timeline in CSV format. (Example: results.csv)' -v --verbose 'Output verbose information.' - -D --enable-deprecated-rules 'Enable sigma rules marked as deprecated.' + -D --enable-deprecated-rules 'Enable rules marked as deprecated.' -n --enable-noisy-rules 'Enable rules marked as noisy.' - -m --min-level=[LEVEL] 'Minimum level for rules. (default: informational)' - --start-timeline=[STARTTIMELINE] 'Start time of the event to load from event file. (example: '2018/11/28 12:00:00 +09:00')' - --end-timeline=[ENDTIMELINE] 'End time of the event to load from event file. (example: '2018/11/28 12:00:00 +09:00')' - --rfc-2822 'Output date and time in RFC 2822 format. (example: Mon, 07 Aug 2006 12:34:56 -0600)' - --rfc-3339 'Output date and time in RFC 3339 format. (example: 2006-08-07T12:34:56.485214 -06:00)' - -u --utc 'Output time in UTC format. (default: local time)' - -t --thread-number=[NUMBER] 'Thread number. (default: optimal number for performance.)' + -u --update-rules 'Update to the latest rules in the hayabusa-rules github repository.' + -m --min-level=[LEVEL] 'Minimum level for rules. (Default: informational)' + -l --live-analysis 'Analyze the local C:\Windows\System32\winevt\Logs folder (Windows Only. Administrator privileges required.)' + --start-timeline=[STARTTIMELINE] 'Start time of the event logs to load. (Example: '2018/11/28 12:00:00 +09:00')' + --end-timeline=[ENDTIMELINE] 'End time of the event logs to load. (Example: '2018/11/28 12:00:00 +09:00')' + --rfc-2822 'Output date and time in RFC 2822 format. (Example: Mon, 07 Aug 2006 12:34:56 -0600)' + --rfc-3339 'Output date and time in RFC 3339 format. (Example: 2006-08-07T12:34:56.485214 -06:00)' + -U --utc 'Output time in UTC format. (Default: local time)' + -t --thread-number=[NUMBER] 'Thread number. (Default: Optimal number for performance.)' -s --statistics 'Prints statistics of event IDs.' -q --quiet 'Quiet mode. Do not display the launch banner.' -Q --quiet-errors 'Quiet errors mode. Do not save error logs.' --contributors 'Prints the list of contributors.' - -FLAGS: - -c, --color Output with color. (Terminal needs to support True Color.) - --contributors Prints the list of contributors. - -D, --enable-deprecated-rules Enable sigma rules marked as deprecated. - -n, --enable-noisy-rules Enable rules marked as noisy. - -h, --help Prints help information - -q, --quiet Quiet mode. Do not display the launch banner. - -Q, --quiet-errors Quiet errors mode. Do not save error logs. - --rfc-2822 Output date and time in RFC 2822 format. (example: Mon, 07 Aug 2006 12:34:56 -0600) - --rfc-3339 Output date and time in RFC 3339 format. (example: 2006-08-07T12:34:56.485214 - -06:00) - -s, --statistics Prints statistics of event IDs. - -u, --utc Output time in UTC format. (default: local time) - -V, --version Prints version information - -v, --verbose Output verbose information. - -OPTIONS: - -d, --directory Directory of multiple .evtx files. - --end-timeline End time of the event to load from event file. (example: '2018/11/28 - 12:00:00 +09:00') - -f, --filepath File path to one .evtx file. - -m, --min-level Minimum level for rules. (default: informational) - -o, --output Save the timeline in CSV format. (example: results.csv) - -r, --rules Rule file or directory (default: ./rules) - --start-timeline Start time of the event to load from event file. (example: '2018/11/28 - 12:00:00 +09:00') - -t, --thread-number Thread number. (default: optimal number for performance.) ``` ## Usage examples @@ -338,7 +312,7 @@ OPTIONS: * Only run rules to analyze logons and output in the UTC timezone: ```bash -.\hayabusa.exe -d .\hayabusa-sample-evtx -r .\rules\hayabusa\default\events\Security\Logons -u -o results.csv +.\hayabusa.exe -d .\hayabusa-sample-evtx -r .\rules\hayabusa\default\events\Security\Logons -U -o results.csv ``` * Run on a live Windows machine (requires Administrator privileges) and only detect alerts (potentially malicious behavior):