updated readme due to added new output alias

2022-08-07 00:37:35 +09:00
parent f971510c0a
commit 99ad306de1
2 changed files with 12 additions and 4 deletions
--- a/README-1.4.3-Japanese.md
+++ b/README-1.4.3-Japanese.md
@@ -509,7 +509,9 @@ Hayabusaの結果を標準出力に表示しているとき（デフォルト）
 * `Title`: YML検知ルールの`title`フィールドから来ています。
 * `RecordID`: イベントレコードIDです。`<Event><System><EventRecordID>`フィールドから来ています。
 * `Details`: YML検知ルールの`details`フィールドから来ていますが、このフィールドはHayabusaルールにしかありません。このフィールドはアラートとイベントに関する追加情報を提供し、ログのフィールドから有用なデータを抽出することができます。イベントキーのマッピングが間違っている場合、もしくはフィールドが存在しない場合で抽出ができなかった箇所は`n/a` (not available)と記載されます。YML検知ルールに`details`フィールドが存在しない時のdetailsのメッセージを`./rules/config/default_details.txt`で設定できます。`default_details.txt`では`Provider Name`、`EventID`、`details`の組み合わせで設定することができます。default_details.txt`やYML検知ルールに対応するルールが記載されていない場合はすべてのフィールド情報を出力します。
-* `MitreAttack`: MITRE ATT&CKの戦術。
+* `MitreTactics`: MITRE ATT&CKの戦術。
+* `MitreTags`: MITRE ATT&CKの戦術以外の情報。attack.g(グループ)、attack.t(技術)、attack.s(ソフトウェア)の情報を出力します。
+* `OtherTags`: YML検知ルールの`tags` フィールドから`MitreTactics`, `MitreTags` 以外の月情報を出力します。
 * `RuleFile`: アラートまたはイベントを生成した検知ルールのファイル名。
 * `EvtxFile`: アラートまたはイベントを起こしたevtxファイルへのパス。
 * `RecordInformation`: すべてのフィールド情報。
@@ -527,7 +529,9 @@ default_profiles.txtをprofile.txtに書かれているプロファイルで上
 |%Channel% | `Channel` |
 |%Level% | `Level` |
 |%EventID% | `EventID` |
-|%MitreAttack% | `MitreAttack` |
+|%MitreTactics% | `MitreTactics` |
+|%MitreTags% | `MitreTags` |
+|%OtherTags% | `OtherTags` |
 |%RecordID% | `RecordID` |
 |%RuleTitle% | `Title` |
 |%Details% | `Details` |
--- a/README.md
+++ b/README.md
@@ -506,7 +506,9 @@ When hayabusa output is being displayed to the screen (the default), it can disp
 * `RecordID`: This comes from the `<Event><System><EventRecordID>` field in the event log.
 * `Title`: This comes from the `title` field in the YML detection rule.
 * `Details`: This comes from the `details` field in the YML detection rule, however, only hayabusa rules have this field. This field gives extra information about the alert or event and can extract useful data from the fields in event logs. For example, usernames, command line information, process information, etc... When a placeholder points to a field that does not exist or there is an incorrect alias mapping, it will be outputted as `n/a` (not available). If the `details` field is not specified (i.e. sigma rules), default `details` messages to extract fields defined in `./rules/config/default_details.txt` will be outputted. You can add more default `details` messages by adding the `Provider　Name`, `EventID` and `details` message you want to output in `default_details.txt`. When no `details` field is defined in a rule nor in `default_details.txt`, all fields will be outputted to the `details` column.
-* `MitreAttack`: MITRE ATT&CK tactics.
+* `MitreTactics`: MITRE ATT&CK tactics.
+* `MitreTags`: MITRE ATT&CK group, technique, software.
+* `OtherTags`: This comes from the `tags` field in YML detection rule which is excluded `MitreTactics` and `MitreTags`.
 * `RuleFile`: The filename of the detection rule that generated the alert or event.
 * `EvtxFile`: The evtx filename that caused the alert or event.
 * `RecordInformation`: All field information.
@@ -525,7 +527,9 @@ Please use `--set-default-profile`  option when you want to overwrite `default_p
 |%Channel% | `Channel` |
 |%Level% | `Level` |
 |%EventID% | `EventID` |
-|%MitreAttack% | `MitreAttack` |
+|%MitreTactics% | `MitreTactics` |
+|%MitreTags% | `MitreTags` |
+|%OtherTags% | `OtherTags` |
 |%RecordID% | `RecordID` |
 |%RuleTitle% | `Title` |
 |%Details% | `Details` |