described new feature it for Data record #487
This commit is contained in:
DustInDark
@@ -497,7 +497,7 @@ Hayabusaの結果を標準出力に表示しているとき(デフォルト)
|
||||
* `Level`: YML検知ルールの`level`フィールドから来ています。(例:`informational`, `low`, `medium`, `high`, `critical`) デフォルトでは、すべてのレベルのアラートとイベントが出力されますが、`-m`オプションで最低のレベルを指定することができます。例えば`-m high`オプションを付けると、`high`と`critical`アラートしか出力されません。
|
||||
* `Title`: YML検知ルールの`title`フィールドから来ています。
|
||||
* `Details`: YML検知ルールの`details`フィールドから来ていますが、このフィールドはHayabusaルールにしかありません。このフィールドはアラートとイベントに関する追加情報を提供し、ログの`<Event><System><EventData>`部分から有用なデータを抽出することができます。イベントキーのマッピングが間違っている場合、もしくはフィールドが存在しない場合で抽出ができなかった箇所は`n/a` (not available)と記載されます。
|
||||
以下のようなレコード情報であるときに複数データの中から特定の情報を取得することができます。(例: 以下のイベントデータで`a`を出力したい場合`%Data[1]%`をdetailsに記載してください)
|
||||
以下のように`Data`レコードが複数存在するときに、複数データの中から特定の情報を取得することができます。(例: 以下のイベントデータで`a`を出力したい場合`%Data[1]%`をdetailsに記載してください)
|
||||
|
||||
```xml
|
||||
<EventData>
|
||||
|
||||
@@ -495,8 +495,9 @@ When hayabusa output is being displayed to the screen (the default), it will dis
|
||||
* `Event ID`: This comes from the `<Event><System><EventID>` field in the event log.
|
||||
* `Level`: This comes from the `level` field in the YML detection rule. (`informational`, `low`, `medium`, `high`, `critical`) By default, all level alerts will be displayed but you can set the minimum level with `-m`. For example, you can set `-m high`) in order to only scan for and display high and critical alerts.
|
||||
* `Title`: This comes from the `title` field in the YML detection rule.
|
||||
* `Details`: This comes from the `details` field in the YML detection rule, however, only hayabusa rules have this field. This field gives extra information about the alert or event and can extract useful data from the `<Event><System><EventData>` portion of the log. For example, usernames, command line information, process information, etc... When a placeholder points to a field that does not exist or there is an incorrect alias mapping, it will be outputted as `n/a` (not available). You can specify field data from multi data in details specified. (ex. `%Data[1]%`)
|
||||
* `Details`: This comes from the `details` field in the YML detection rule, however, only hayabusa rules have this field. This field gives extra information about the alert or event and can extract useful data from the `<Event><System><EventData>` portion of the log. For example, usernames, command line information, process information, etc... When a placeholder points to a field that does not exist or there is an incorrect alias mapping, it will be outputted as `n/a` (not available).
|
||||
|
||||
You can specify field data from multi `Data` record in details specified. (ex. `%Data[1]%`)
|
||||
Note: If you want to output `a` in following eventdata, you would specify `%Data[1]%` in details.
|
||||
|
||||
```xml
|
||||
|
||||
Reference in New Issue
Block a user