From a09baeb7d2c0fb0f96ce6edb5895ec9bc8965a47 Mon Sep 17 00:00:00 2001 From: Yamato Security <71482215+YamatoSecurity@users.noreply.github.com> Date: Fri, 15 Apr 2022 11:43:40 +0900 Subject: [PATCH] v1.2 changelog update (#473) MIME-Version: 1.0 Content-Type: text/plain; charset=UTF-8 Content-Transfer-Encoding: 8bit * changelog update * Update CHANGELOG.md added contributor in "Fields that are not defined in eventkey_alias.txt will automatically be searched in Event.EventData." ref #442 * Update CHANGELOG-Japanese.md Fields that are not defined in eventkey_alias.txt will automatically be searched in Event.EventData. added contributor in "Fields that are not defined in eventkey_alias.txt will automatically be searched in Event.EventData." ref #442 * Update CHANGELOG.md added bug fixes (#444) and `Performance and. accuracy` add contributor ref(#395) * Update CHANGELOG-Japanese.md * Translated v1.2 change log to Japanese v1.2の内容を日本語に修正 * fixed typo added lacked back quote. * added description added following issue and pr description to readme - #216 / #469 L8 - #390 / #459 L9 - #478 / #482 L19 - #477/ #483 L20 * added description README.md added following issue and pr description to readme - #216 / #469 L8 - #390 / #459 L9 - #478 / #482 L19 - #477/ #483 L20 * changelog update * changelog update * update Co-authored-by: DustInDark --- CHANGELOG-Japanese.md | 28 ++++++++++++++++++++++++++-- CHANGELOG.md | 29 +++++++++++++++++++++++++++-- 2 files changed, 53 insertions(+), 4 deletions(-) diff --git a/CHANGELOG-Japanese.md b/CHANGELOG-Japanese.md index 51465e81..7a6dec6c 100644 --- a/CHANGELOG-Japanese.md +++ b/CHANGELOG-Japanese.md @@ -1,6 +1,30 @@ # 変更点 -##v1.1.0 [2022/03/03] +## v1.2.0 [2022/04/15] Black Hat Asia Arsenal 2022 Preview Release +**新機能:** +- `-C / --config` オプションの追加。検知ルールのコンフィグを指定することが可能。(Windowsでのライブ調査に便利) (@hitenkoku) +- `|equalsfield` と記載することでルール内で二つのフィールドの値が一致するかを記載に対応。 (@hach1yon) +- `-p / --pivot-keywords-list` オプションの追加。攻撃されたマシン名や疑わしいユーザ名などの情報をピボットキーワードリストとして出力する。 (@kazuminn) +- `-F / --full-data`オプションの追加。検知したレコードのフィールド情報をcsvに出力することが可能。(@hach1yon) +- `--level-tuning` オプションの追加。ルールの検知ファイルを設定したコンフィグファイルに従って検知レベルをチューニングすることが可能(@itib、@hitenkoku) + +**改善:** +- 検知ルールとドキュメントの更新。 (@YamatoSecurity) +- MacとLinuxのバイナリに必要なOpenSSLライブラリを静的コンパイルした。 (@YamatoSecurity) +- タブ等の文字が含まれたフィールドに対しての検知性能の改善。 (@hach1yon、@hitenkoku) +- eventkey_alias.txt内に定義されていないフィールドをEvent.EventData内を自動で検索することが可能。 (@kazuminn、@hitenkoku) +- 検知ルールの更新時、更新されたルールのファイル名が表示される。 (@hitenkoku) +- ソースコードにあるClippyの警告を修正。 (@hitenkoku、@hach1yon) +- イベントIDとタイトルが記載されたコンフィグファイルの名前を `timeline_event_info.txt` から `statistics_event_info.txt`に変更。 (@YamatoSecurity、 @garigariganzy) +- 64bit Windowsで32bit版のバイナリを実行しないように修正(@hitenkoku) +- MITRE ATT&CKのデータの出力を`output_tag.txt`で修正できるように修正(@hitenkoku) + +**バグ修正:** +- `.git` フォルダ内にある `.yml` ファイルがパースエラーを引き起こしていた問題の修正。 (@hitenkoku) +- テスト用のルールファイルの読み込みエラーで不必要な改行が発生していた問題の修正。 (@hitenkoku) +- Windows Terminalのバグで標準出力が途中で止まる場合がありましたが、Hayabusa側で解決しました。 (@hitenkoku) + +## v1.1.0 [2022/03/03] **新機能:** - `-r / --rules`オプションで一つのルール指定が可能。(ルールをテストする際に便利!) (@kazuminn) - ルール更新オプション (`-u / --update-rules`): [hayabusa-rules](https://github.com/Yamato-Security/hayabusa-rules)レポジトリにある最新のルールに更新できる。 (@hitenkoku) @@ -26,4 +50,4 @@ - Rustのevtxライブラリを0.7.2に更新。 (@YamatoSecurity) ## v1.0.0 [2021/12/25] -- 最初のリリース \ No newline at end of file +- 最初のリリース diff --git a/CHANGELOG.md b/CHANGELOG.md index dee69d2e..231812d6 100644 --- a/CHANGELOG.md +++ b/CHANGELOG.md @@ -1,6 +1,31 @@ # Changes -##v1.1.0 [2022/03/03] +## v1.2.0 [2022/04/15] Black Hat Asia Arsenal 2022 Preview Release + +**New Features:** +- Specify config directory (`-C / --config`): When specifying a different rules directory, the rules config directory will still be the default `rules/config`, so this option is useful when you want to test rules and their config files in a different directory. (@hitenkoku) +- `|equalsfield` aggregator: In order to write rules that compare if two fields are equal or not. (@hach1yon) +- Pivot keyword list generator feature (`-p / --pivot-keywords-list`): Will generate a list of keywords to grep for to quickly identify compromised machines, suspicious usernames, files, etc... (@kazuminn) +- `-F / --full-data` option: Will output fields information in detected record to `--output` file. (@hach1yon) +- `--level-tuning` option: You can tune the risk `level` in hayabusa and sigma rules to your environment. (@itib and @hitenkoku) + +**Enhancements:** +- Updated detection rules and documentation. (@YamatoSecurity) +- Mac and Linux binaries now statically compile the OpenSSL libraries. (@YamatoSecurity) +- Performance and accuracy improvement for fields with tabs, etc... in them. (@hach1yon and @hitenkoku) +- Fields that are not defined in eventkey_alias.txt will automatically be searched in Event.EventData. (@kazuminn and @hitenkoku) +- When updating rules, the names of new rules as well as the count will be displayed. (@hitenkoku) +- Removed all Clippy warnings from the source code. (@hitenkoku and @hach1yon) +- Updated the event ID and title config file (`timeline_event_info.txt`) and changed the name to `statistics_event_info.txt`. (@YamatoSecurity and @garigariganzy) +- 32-bit Hayabusa Windows binaries are now prevented from running on 64-bit Windows as it would cause unexpected results. (@hitenkoku) +- MITRE ATT&CK tag output can be customized in `output_tag.txt`. (@hitenkoku) + +**Bug Fixes:** +- `.yml` files in the `.git` folder would cause parse errors so they are now ignored. (@hitenkoku) +- Removed unnecessary newline due to loading test file rules. (@hitenkoku) +- Fixed output stopping in Windows Terminal due a bug in Terminal itself. (@hitenkoku) + +## v1.1.0 [2022/03/03] **New Features:** - Can specify a single rule with the `-r / --rules` option. (Great for testing rules!) (@kazuminn) - Rule update option (`-u / --update-rules`): Update to the latest rules in the [hayabusa-rules](https://github.com/Yamato-Security/hayabusa-rules) repository. (@hitenkoku) @@ -26,4 +51,4 @@ - Updated the Rust evtx library to 0.7.2 (@YamatoSecurity) ## v1.0.0 [2021/12/25] -- Initial release. \ No newline at end of file +- Initial release.