From 86a5d25fbd077c2f5aaf0092f044d359164a5a42 Mon Sep 17 00:00:00 2001 From: Yamato Security <71482215+YamatoSecurity@users.noreply.github.com> Date: Sun, 2 Oct 2022 04:27:31 +0900 Subject: [PATCH] update readme --- README-Japanese.md | 12 ++---------- README.md | 12 ++---------- 2 files changed, 4 insertions(+), 20 deletions(-) diff --git a/README-Japanese.md b/README-Japanese.md index 775adeba..3c11699c 100644 --- a/README-Japanese.md +++ b/README-Japanese.md @@ -85,8 +85,6 @@ Hayabusaは、日本の[Yamato Security](https://yamatosecurity.connpass.com/) - [標準出力へのカラー設定](#標準出力へのカラー設定) - [結果のサマリ](#結果のサマリ) - [イベント頻度タイムライン](#イベント頻度タイムライン) - - [最多検知日の出力](#最多検知日の出力) - - [最多検知端末名の出力](#最多検知端末名の出力) - [Hayabusaルール](#hayabusaルール) - [Hayabusa v.s. 変換されたSigmaルール](#hayabusa-vs-変換されたsigmaルール) - [検知ルールのチューニング](#検知ルールのチューニング) @@ -798,19 +796,13 @@ Hayabusaの結果は`level`毎に文字色が変わります。 ## 結果のサマリ +元々のイベント数、検知したイベント数、データ削減の統計、検知数情報、最多検知日、最多検知端末名、最多アラート等の情報がスキャン後に出力されます。 + ### イベント頻度タイムライン `-V`または`--visualize-timeline`オプションを使うことで、検知したイベントの数が5以上の時、頻度のタイムライン(スパークライン)を画面に出力します。 マーカーの数は最大10個です。デフォルトのCommand PromptとPowerShell Promptでは文字化けがでるので、Windows TerminalやiTerm2等のターミナルをご利用ください。 -### 最多検知日の出力 - -各レベルで最も検知された日付を画面に出力します。 - -### 最多検知端末名の出力 - -各レベルで多く検知されたユニークなイベントが多い端末名上位5つを画面に出力します。 - # Hayabusaルール Hayabusa検知ルールはSigmaのようなYML形式で記述されています。`rules`ディレクトリに入っていますが、将来的には[https://github.com/Yamato-Security/hayabusa-rules](https://github.com/Yamato-Security/hayabusa-rules)のレポジトリで管理する予定なので、ルールのissueとpull requestはhayabusaのレポジトリではなく、ルールレポジトリへお願いします。 diff --git a/README.md b/README.md index 8af3371f..c8227f1a 100644 --- a/README.md +++ b/README.md @@ -83,8 +83,6 @@ Hayabusa is a **Windows event log fast forensics timeline generator** and **thre - [Color Output](#color-output) - [Results Summary](#results-summary-1) - [Event Fequency Timeline](#event-fequency-timeline) - - [Dates with most total detections](#dates-with-most-total-detections) - - [Top 5 computers with most unique detections](#top-5-computers-with-most-unique-detections) - [Hayabusa Rules](#hayabusa-rules) - [Hayabusa v.s. Converted Sigma Rules](#hayabusa-vs-converted-sigma-rules) - [Detection Rule Tuning](#detection-rule-tuning) @@ -789,19 +787,13 @@ If you want to disable color output, you can use `--no-color` option. ## Results Summary +Total events, the number of events with hits, data reduction metrics, total and unique detections, dates with the most detections, top computers with detections and top alerts are displayed after every scan. + ### Event Fequency Timeline If you add `-V` or `--visualize-timeline` option, the Event Frequency Timeline feature displays a sparkline frequency timeline of detected events. Note: There needs to be more than 5 events. Also, the characters will not render correctly on the default Command Prompt or PowerShell Prompt, so please use a terminal like Windows Terminal, iTerm2, etc... -### Dates with most total detections - -A summary of the dates with the most total detections categorized by level (`critical`, `high`, etc...). - -### Top 5 computers with most unique detections - -The top 5 computers with the most unique detections categorized by level (`critical`, `high`, etc...). - # Hayabusa Rules Hayabusa detection rules are written in a sigma-like YML format and are located in the `rules` folder. In the future, we plan to host the rules at [https://github.com/Yamato-Security/hayabusa-rules](https://github.com/Yamato-Security/hayabusa-rules) so please send any issues and pull requests for rules there instead of the main hayabusa repository.