CSEC_PUBLIC/hayabusa
1
0
Fork 0
Code Issues Pull Requests Packages Projects Releases Wiki Activity

updated usage in readme

Browse Source
This commit is contained in:
DustInDark
2022-06-17 19:04:55 +09:00
parent b5a61688ed
commit ac246522d4
3 changed files with 74 additions and 209 deletions
Download Patch File Download Diff File Expand all files Collapse all files

137
README-Japanese.md
View File

@@ -323,110 +323,43 @@ macOSの環境設定から「セキュリティとプライバシー」を開き
```bash
USAGE:
hayabusa.exe [OPTIONS]
hayabusa.exe -f file.evtx [OPTIONS] / hayabusa.exe -d evtx-directory [OPTIONS]
OPTIONS:
--European-time
ヨーロッパ形式で日付と時刻を出力する。 (例: 22-02-2022 22:00:00.123 +02:00)
--US-military-time
24時間制(ミリタリータイム)のアメリカ形式で日付と時刻を出力する。 (例: 02-22-2022 22:00:00.123 -06:00)
--US-time
アメリカ形式で日付と時刻を出力する。 (例: 02-22-2022 10:00:00.123 PM -06:00)
--all-tags
出力したCSVファイルにルール内のタグ情報を全て出力する。
-C, --config [RULE_CONFIG_DIRECTORY]
ルールフォルダのコンフィグディレクトリ(デフォルト: .\rules\config)
--contributors
コントリビュータの一覧表示
-d, --directory [DIRECTORY]
.evtxファイルを持つディレクトリのパス
-D, --enable-deprecated-rules
Deprecatedルールを有効にする。
--end-timeline <END_TIMELINE>
解析対象とするイベントログの終了時刻。(例: "2022-02-22 23:59:59 +09:00")
-f, --filepath [FILE_PATH]
1つの.evtxファイルのパス。
-F, --full-data
全てのフィールド情報を出力する。
-h, --help
ヘルプ情報を表示する。
-l, --live-analysis
ローカル端末のC:\Windows\System32\winevt\Logsフォルダを解析する。(Windowsのみ。管理者権限が必要。)
-L, --logon-summary
成功と失敗したログオン情報の要約を出力する。
--level-tuning <LEVEL_TUNING_FILE>
ルールlevelのチューニング (デフォルト: .\rules\config\level_tuning.txt)
-m, --min-level <LEVEL>
結果出力をするルールの最低レベル。(デフォルト: informational)
-n, --enable-noisy-rules
Noisyルールを有効にする。
--no_color
カラー出力を無効にする。
-o, --output [CSV_TIMELINE]
タイムラインをCSV形式で保存する。(例: results.csv)
-p, --pivot-keywords-list
ピボットキーワードの一覧作成。
-q, --quiet
Quietモード。起動バナーを表示しない。
-Q, --quiet-errors
Quiet errorsモード。エラーログを保存しない。
-r, --rules [RULE_DIRECTORY/RULE_FILE]
ルールファイルまたはルールファイルを持つディレクトリ。(デフォルト: .\rules)
-R, --hide-record-id
イベントレコードIDを表示しない。
--rfc-2822
RFC 2822形式で日付と時刻を出力する。(例: Fri, 22 Feb 2022 22:00:00 -0600)
--rfc-3339
RFC 3339形式で日付と時刻を出力する。 (例: 2022-02-22 22:00:00.123456-06:00)
-s, --statistics
イベントIDの統計情報を表示する。
--start-timeline <START_TIMELINE>
解析対象とするイベントログの開始時刻。(例: "2020-02-22 00:00:00 +09:00")
-t, --thread-number <NUMBER>
スレッド数。(デフォルト: パフォーマンスに最適な数値)
-u, --update-rules
rulesフォルダをhayabusa-rulesのgithubリポジトリの最新版に更新する。
-U, --utc
UTC形式で日付と時刻を出力する。(デフォルト: 現地時間)
-v, --verbose
詳細な情報を出力する。
-V, --visualize-timeline
イベント頻度タイムラインを出力する。
--version
バージョン情報を表示する。
--European-time ヨーロッパ形式で日付と時刻を出力する。 (例: 22-02-2022 22:00:00.123 +02:00)
--US-military-time 24時間制(ミリタリータイム)のアメリカ形式で日付と時刻を出力する。 (例: 02-22-2022 22:00:00.123 -06:00)
--US-time アメリカ形式で日付と時刻を出力する。 (例: 02-22-2022 10:00:00.123 PM -06:00)
--all-tags 出力したCSVファイルにルール内のタグ情報を全て出力する。
-c, --config <RULE_CONFIG_DIRECTORY> ルールフォルダのコンフィグディレクトリ (デフォルト: .\rules\config)
--contributors コントリビュータの一覧表示。
-d, --directory <DIRECTORY> .evtxファイルを持つディレクトリのパス。
-D, --enable-deprecated-rules Deprecatedルールを有効にする。
--end-timeline <END_TIMELINE> 解析対象とするイベントログの終了時刻。(例: "2022-02-22 23:59:59 +09:00")
-f, --filepath <FILE_PATH> 1つの.evtxファイルに対して解析を行う
-F, --full-data 全てのフィールド情報を出力する。
-h, --help ヘルプ情報を表示する。
-l, --live-analysis ローカル端末のC:\Windows\System32\winevt\Logsフォルダを解析する。(Windowsのみ。管理者権限が必要。)
-L, --logon-summary 成功と失敗したログオン情報の要約を出力する。
--level-tuning <LEVEL_TUNING_FILE> ルールlevelのチューニング。 (デフォルト: .\rules\config\level_tuning.txt)
-m, --min-level <LEVEL> 結果出力をするルールの最低レベル。(デフォルト: informational)
-n, --enable-noisy-rules Noisyルールを有効にする
--no_color カラー出力を無効にする。
-o, --output <CSV_TIMELINE> タイムラインをCSV形式で保存する。(例: results.csv)
-p, --pivot-keywords-list ピボットキーワードの一覧作成
-q, --quiet Quietモード。起動バナーを表示しない。
-Q, --quiet-errors Quiet errorsモード。エラーログを保存しない。
-r, --rules <RULE_DIRECTORY/RULE_FILE> ルールファイルまたはルールファイルを持つディレクトリ。(デフォルト: .\rules)
-R, --hide-record-id イベントレコードIDを表示しない。
--rfc-2822 RFC 2822形式で日付と時刻を出力する。(例: Fri, 22 Feb 2022 22:00:00 -0600)
--rfc-3339 RFC 3339形式で日付と時刻を出力する。 (例: 2022-02-22 22:00:00.123456-06:00)
-s, --statistics イベントIDの統計情報を表示する。
--start-timeline <START_TIMELINE> 解析対象とするイベントログの開始時刻。(例: "2020-02-22 00:00:00 +09:00")
-t, --thread-number <NUMBER> スレッド数。(デフォルト: パフォーマンスに最適な数値)
-u, --update-rules rulesフォルダをhayabusa-rulesのgithubリポジトリの最新版に更新する。
-U, --UTC UTC形式で日付と時刻を出力する。(デフォルト: 現地時間)
-v, --verbose 詳細な情報を出力する。
-V, --visualize-timeline イベント頻度タイムラインを出力する。
--version バージョン情報を表示する。
```
## 使用例

138
README.md
View File

@@ -321,111 +321,43 @@ You should now be able to run hayabusa.
```bash
USAGE:
hayabusa.exe [OPTIONS]
hayabusa.exe -f file.evtx [OPTIONS] / hayabusa.exe -d evtx-directory [OPTIONS]
OPTIONS:
--European-time
Output timestamp in European time format. (Ex: 22-02-2022 22:00:00.123 +02:00)
--US-military-time
Output timestamp in US military time format. (Ex: 02-22-2022 22:00:00.123 -06:00)
--US-time
Output timestamp in US time format. (Ex: 02-22-2022 10:00:00.123 PM -06:00)
--all-tags
Output all tags when saving to a CSV file
-C, --config <RULE_CONFIG_DIRECTORY>
Rule config folder [default: ./rules/config]
--contributors
Prints the list of contributors
-d, --directory <DIRECTORY>
Directory of multiple .evtx files
-D, --enable-deprecated-rules
Enable rules marked as deprecated
--end-timeline <END_TIMELINE>
End time of the event logs to load. (Ex: \"2022-02-22 23:59:59 +09:00\")
-f, --filepath <FILE_PATH>
File path to one .evtx file
-F, --full-data
Print all field information
-h, --help
Print help information
-l, --live-analysis
Analyze the local C:\\Windows\\System32\\winevt\\Logs folder (Windows Only.
Administrator privileges required.)
-L, --logon-summary
Successful and failed logons summary
--level-tuning <LEVEL_TUNING_FILE>
Tune alert levels [default: ./rules/config/level_tuning.txt]
-m, --min-level <LEVEL>
Minimum level for rules [default: informational]
-n, --enable-noisy-rules
Enable rules marked as noisy
--no_color
Disable color output
-o, --output <CSV_TIMELINE>
Save the timeline in CSV format. (Ex: results.csv)
-p, --pivot-keywords-list
Create a list of pivot keywords
-q, --quiet
Quiet mode. Do not display the launch banner
-Q, --quiet-errors
Quiet errors mode. Do not save error logs
-r, --rules <RULE_DIRECTORY/RULE_FILE>
Rule directory or file [default: ./rules]
-R, --hide-record-id
Do not display EventRecordID number
--rfc-2822
Output timestamp in RFC 2822 format. (Ex: Fri, 22 Feb 2022 22:00:00 -0600)
--rfc-3339
Output timestamp in RFC 3339 format. (Ex: 2022-02-22 22:00:00.123456-06:00)
-s, --statistics
Prints statistics of event IDs
--start-timeline <START_TIMELINE>
Start time of the event logs to load. (Ex: \"2020-02-22 00:00:00 +09:00\")
-t, --thread-number <NUMBER>
Thread number. [default: Optimal number for performance.]
-u, --update-rules
Update to the latest rules in the hayabusa-rules github repository
-U, --utc
Output time in UTC format. [default: local time]
-v, --verbose
Output verbose information
-V, --visualize-timeline
Output event frequency timeline
--version
Print version information
--European-time Output timestamp in European time format. (Ex: 22-02-2022 22:00:00.123 +02:00)
--US-military-time Output timestamp in US military time format. (Ex: 02-22-2022 22:00:00.123 -06:00)
--US-time Output timestamp in US time format. (Ex: 02-22-2022 10:00:00.123 PM -06:00)
--all-tags Output all tags when saving to a CSV file
-c, --config <RULE_CONFIG_DIRECTORY> Rule config folder. (Default: .\rules\config)
--contributors Prints the list of contributors
-d, --directory <DIRECTORY> Directory of multiple .evtx files
-D, --enable-deprecated-rules Enable rules marked as deprecated
--end-timeline <END_TIMELINE> End time of the event logs to load. (Ex: "2022-02-22 23:59:59 +09:00")
-f, --filepath <FILE_PATH> File path to one .evtx file
-F, --full-data Print all field information
-h, --help Print help information
-l, --live-analysis Analyze the local C:\\Windows\\System32\\winevt\\Logs folder. (Windows Only. Administrator privileges required.)
-L, --logon-summary Successful and failed logons summary
--level-tuning <LEVEL_TUNING_FILE> Tune alert levels. (Default: .\rules\config\level_tuning.txt)
-m, --min-level <LEVEL> Minimum level for rules. (Default: informational)
-n, --enable-noisy-rules Enable rules marked as noisy
--no_color Disable color output
-o, --output <CSV_TIMELINE> Save the timeline in CSV format. (Ex: results.csv)
-p, --pivot-keywords-list Create a list of pivot keywords
-q, --quiet Quiet mode. Do not display the launch banner
-Q, --quiet-errors Quiet errors mode. Do not save error logs
-r, --rules <RULE_DIRECTORY/RULE_FILE> Specify rule directory or file. (Default: .\rules)
-R, --hide-record-id Do not display EventRecordID numbers
--rfc-2822 Output timestamp in RFC 2822 format. (Ex: Fri, 22 Feb 2022 22:00:00 -0600)
--rfc-3339 Output timestamp in RFC 3339 format. (Ex: 2022-02-22 22:00:00.123456-06:00)
-s, --statistics Prints statistics of event IDs
--start-timeline <START_TIMELINE> Start time of the event logs to load. (Ex: "2020-02-22 00:00:00 +09:00")
-t, --thread-number <NUMBER> Thread number. (Default: Optimal number for performance.)
-u, --update-rules Update to the latest rules in the hayabusa-rules github repository
-U, --UTC Output time in UTC format. (Default: local time)
-v, --verbose Output verbose information
-V, --visualize-timeline Output event frequency timeline
--version Print version information
```
## Usage Examples

8
src/detections/configs.rs
View File

@@ -77,7 +77,7 @@ pub struct Config {
)]
pub rules: PathBuf,
/// Rule config folder. [Default: .\rules\config]
/// Rule config folder. (Default: .\rules\config)
#[clap(
short = 'c',
long,
@@ -129,7 +129,7 @@ pub struct Config {
)]
pub min_level: String,
/// Analyze the local C:\\Windows\\System32\\winevt\\Logs folder (Windows Only. Administrator privileges required.)
/// Analyze the local C:\\Windows\\System32\\winevt\\Logs folder. (Windows Only. Administrator privileges required.)
#[clap(short = 'l', long = "live-analysis")]
pub live_analysis: bool,
@@ -161,7 +161,7 @@ pub struct Config {
#[clap(long = "European-time")]
pub european_time: bool,
/// Output time in UTC format. [Default: local time]
/// Output time in UTC format. (Default: local time)
#[clap(short = 'U', long = "UTC")]
pub utc: bool,
@@ -169,7 +169,7 @@ pub struct Config {
#[clap(long = "no_color")]
pub no_color: bool,
/// Thread number. [Default: Optimal number for performance.]
/// Thread number. (Default: Optimal number for performance.)
#[clap(short, long = "thread-number", value_name = "NUMBER")]
pub thread_number: Option<usize>,