CSEC_PUBLIC/hayabusa
1
0
Fork 0
Code Issues Pull Requests Packages Projects Releases Wiki Activity

updated readme #413

Browse Source
This commit is contained in:
DustInDark
2022-06-13 02:49:54 +09:00
parent 28fabf6c9b
commit acf81b1d64
2 changed files with 209 additions and 64 deletions
Download Patch File Download Diff File Expand all files Collapse all files

136
README-Japanese.md
View File

@@ -323,38 +323,110 @@ macOSの環境設定から「セキュリティとプライバシー」を開き
```bash
USAGE:
-d, --directory [DIRECTORY] '.evtxファイルを持つディレクトリのパス。'
-f, --filepath [FILE_PATH] '1つの.evtxファイルのパス。'
-F, --full-data '全てのフィールド情報を出力する。'
-r, --rules [RULE_DIRECTORY/RULE_FILE] 'ルールファイルまたはルールファイルを持つディレクトリ。(デフォルト: .\rules)'
-C, --config [RULE_CONFIG_DIRECTORY] 'ルールフォルダのコンフィグディレクトリ(デフォルト: .\rules\config)'
-o, --output [CSV_TIMELINE] 'タイムラインをCSV形式で保存する。(例: results.csv)'
--all-tags '出力したCSVファイルにルール内のタグ情報を全て出力する。'
-R, --hide-record-id 'イベントレコードIDを表示しない。'
-v, --verbose '詳細な情報を出力する。'
-V, --visualize-timeline 'イベント頻度タイムラインを出力する。'
-D, --enable-deprecated-rules 'Deprecatedルールを有効にする。'
-n, --enable-noisy-rules 'Noisyルールを有効にする。'
-u, --update-rules 'rulesフォルダをhayabusa-rulesのgithubリポジトリの最新版に更新する。'
-m, --min-level [LEVEL] '結果出力をするルールの最低レベル。(デフォルト: informational)'
-l, --live-analysis 'ローカル端末のC:\Windows\System32\winevt\Logsフォルダを解析する。(Windowsのみ。管理者権限が必要。)'
--start-timeline [START_TIMELINE] '解析対象とするイベントログの開始時刻。(例: "2020-02-22 00:00:00 +09:00")'
--end-timeline [END_TIMELINE] '解析対象とするイベントログの終了時刻。(例: "2022-02-22 23:59:59 +09:00")'
--rfc-2822 'RFC 2822形式で日付と時刻を出力する。(例: Fri, 22 Feb 2022 22:00:00 -0600)'
--rfc-3339 'RFC 3339形式で日付と時刻を出力する。 (例: 2022-02-22 22:00:00.123456-06:00)'
--US-time 'アメリカ形式で日付と時刻を出力する。 (例: 02-22-2022 10:00:00.123 PM -06:00)'
--US-military-time '24時間制(ミリタリータイム)のアメリカ形式で日付と時刻を出力する。 (例: 02-22-2022 22:00:00.123 -06:00)'
--European-time 'ヨーロッパ形式で日付と時刻を出力する。 (例: 22-02-2022 22:00:00.123 +02:00)'
-U, --utc 'UTC形式で日付と時刻を出力する。(デフォルト: 現地時間)'
--no-color 'カラー出力を無効にする。'
-t, --thread-number [NUMBER] 'スレッド数。(デフォルト: パフォーマンスに最適な数値)'
-s, --statistics 'イベントIDの統計情報を表示する。'
-L, --logon-summary '成功と失敗したログオン情報の要約を出力する。'
-q, --quiet 'Quietモード。起動バナーを表示しない。'
-Q, --quiet-errors 'Quiet errorsモード。エラーログを保存しない。'
--level-tuning [LEVEL_TUNING_FILE] 'ルールlevelのチューニング (デフォルト: .\rules\config\level_tuning.txt)'
-p, --pivot-keywords-list 'ピボットキーワードの一覧作成。'
--contributors 'コントリビュータの一覧表示。'
hayabusa.exe [OPTIONS]
OPTIONS:
--European-time
ヨーロッパ形式で日付と時刻を出力する。 (例: 22-02-2022 22:00:00.123 +02:00)
--US-military-time
24時間制(ミリタリータイム)のアメリカ形式で日付と時刻を出力する。 (例: 02-22-2022 22:00:00.123 -06:00)
--US-time
アメリカ形式で日付と時刻を出力する。 (例: 02-22-2022 10:00:00.123 PM -06:00)
--all-tags
出力したCSVファイルにルール内のタグ情報を全て出力する。
-C, --config [RULE_CONFIG_DIRECTORY]
ルールフォルダのコンフィグディレクトリ(デフォルト: .\rules\config)
--contributors
コントリビュータの一覧表示。
-d, --directory [DIRECTORY]
.evtxファイルを持つディレクトリのパス。
-D, --enable-deprecated-rules
Deprecatedルールを有効にする。
--end-timeline <END_TIMELINE>
解析対象とするイベントログの終了時刻。(例: "2022-02-22 23:59:59 +09:00")
-f, --filepath [FILE_PATH]
1つの.evtxファイルのパス。
-F, --full-data
全てのフィールド情報を出力する。
-h, --help
ヘルプ情報を表示する。
-l, --live-analysis
ローカル端末のC:\Windows\System32\winevt\Logsフォルダを解析する。(Windowsのみ。管理者権限が必要。)
-L, --logon-summary
成功と失敗したログオン情報の要約を出力する。
--level-tuning <LEVEL_TUNING_FILE>
ルールlevelのチューニング (デフォルト: .\rules\config\level_tuning.txt)
-m, --min-level <LEVEL>
結果出力をするルールの最低レベル。(デフォルト: informational)
-n, --enable-noisy-rules
Noisyルールを有効にする。
--no_color
カラー出力を無効にする。
-o, --output [CSV_TIMELINE]
タイムラインをCSV形式で保存する。(例: results.csv)
-p, --pivot-keywords-list
ピボットキーワードの一覧作成。
-q, --quiet
Quietモード。起動バナーを表示しない。
-Q, --quiet-errors
Quiet errorsモード。エラーログを保存しない。
-r, --rules [RULE_DIRECTORY/RULE_FILE]
ルールファイルまたはルールファイルを持つディレクトリ。(デフォルト: .\rules)
-R, --hide-record-id
イベントレコードIDを表示しない。
--rfc-2822
RFC 2822形式で日付と時刻を出力する。(例: Fri, 22 Feb 2022 22:00:00 -0600)
--rfc-3339
RFC 3339形式で日付と時刻を出力する。 (例: 2022-02-22 22:00:00.123456-06:00)
-s, --statistics
イベントIDの統計情報を表示する。
--start-timeline <START_TIMELINE>
解析対象とするイベントログの開始時刻。(例: "2020-02-22 00:00:00 +09:00")
-t, --thread-number <NUMBER>
スレッド数。(デフォルト: パフォーマンスに最適な数値)
-u, --update-rules
rulesフォルダをhayabusa-rulesのgithubリポジトリの最新版に更新する。
-U, --utc
UTC形式で日付と時刻を出力する。(デフォルト: 現地時間)
-v, --verbose
詳細な情報を出力する。
-V, --visualize-timeline
イベント頻度タイムラインを出力する。
--version
バージョン情報を表示する。
```
## 使用例

137
README.md
View File

@@ -321,38 +321,111 @@ You should now be able to run hayabusa.
```bash
USAGE:
-d, --directory [DIRECTORY] 'Directory of multiple .evtx files.'
-f, --filepath [FILE_PATH] 'File path to one .evtx file.'
-F, --full-data 'Print all field information.'
-r, --rules [RULE_DIRECTORY/RULE_FILE] 'Rule file or directory (Default: .\rules)'
-C, --config [RULE_CONFIG_DIRECTORY] 'Rule config folder. (Default: .\rules\config)'
-o, --output [CSV_TIMELINE] 'Save the timeline in CSV format. (Ex: results.csv)'
--all-tags 'Output all tags when saving to a CSV file.'
-R, --hide-record-id 'Do not display the EventRecordID number.'
-v, --verbose 'Output verbose information.'
-V, --visualize-timeline 'Output event frequency timeline.'
-D, --enable-deprecated-rules 'Enable rules marked as deprecated.'
-n, --enable-noisy-rules 'Enable rules marked as noisy.'
-u, --update-rules 'Update to the latest rules in the hayabusa-rules github repository.'
-m, --min-level [LEVEL] 'Minimum level for rules. (Default: informational)'
-l, --live-analysis 'Analyze the local C:\Windows\System32\winevt\Logs folder (Windows Only. Administrator privileges required.)'
--start-timeline [START_TIMELINE] 'Start time of the event logs to load. (Ex: "2020-02-22 00:00:00 +09:00")'
--end-timeline [END_TIMELINE] 'End time of the event logs to load. (Ex: "2022-02-22 23:59:59 +09:00")'
--rfc-2822 'Output timestamp in RFC 2822 format. (Ex: Fri, 22 Feb 2022 22:00:00 -0600)'
--rfc-3339 'Output timestamp in RFC 3339 format. (Ex: 2022-02-22 22:00:00.123456-06:00)'
--US-time 'Output timestamp in US time format. (Ex: 02-22-2022 10:00:00.123 PM -06:00)'
--US-military-time 'Output timestamp in US military time format. (Ex: 02-22-2022 22:00:00.123 -06:00)'
--European-time 'Output timestamp in European time format. (Ex: 22-02-2022 22:00:00.123 +02:00)'
-U, --utc 'Output time in UTC format. (Default: local time)'
--no-color 'Disable color output.'
-t, --thread-number [NUMBER] 'Thread number. (Default: Optimal number for performance.)'
-s, --statistics 'Prints statistics of event IDs.'
-L, --logon-summary 'Successful and failed logons summary.'
-q, --quiet 'Quiet mode. Do not display the launch banner.'
-Q, --quiet-errors 'Quiet errors mode. Do not save error logs.'
--level-tuning [LEVEL_TUNING_FILE] 'Tune alert levels. (Default: .\rules\config\level_tuning.txt)'
-p, --pivot-keywords-list 'Create a list of pivot keywords.'
--contributors 'Prints the list of contributors.'
hayabusa.exe [OPTIONS]
OPTIONS:
--European-time
Output timestamp in European time format. (Ex: 22-02-2022 22:00:00.123 +02:00)
--US-military-time
Output timestamp in US military time format. (Ex: 02-22-2022 22:00:00.123 -06:00)
--US-time
Output timestamp in US time format. (Ex: 02-22-2022 10:00:00.123 PM -06:00)
--all-tags
Output all tags when saving to a CSV file
-C, --config <RULE_CONFIG_DIRECTORY>
Rule config folder [default: ./rules/config]
--contributors
Prints the list of contributors
-d, --directory <DIRECTORY>
Directory of multiple .evtx files
-D, --enable-deprecated-rules
Enable rules marked as deprecated
--end-timeline <END_TIMELINE>
End time of the event logs to load. (Ex: \"2022-02-22 23:59:59 +09:00\")
-f, --filepath <FILE_PATH>
File path to one .evtx file
-F, --full-data
Print all field information
-h, --help
Print help information
-l, --live-analysis
Analyze the local C:\\Windows\\System32\\winevt\\Logs folder (Windows Only.
Administrator privileges required.)
-L, --logon-summary
Successful and failed logons summary
--level-tuning <LEVEL_TUNING_FILE>
Tune alert levels [default: ./rules/config/level_tuning.txt]
-m, --min-level <LEVEL>
Minimum level for rules [default: informational]
-n, --enable-noisy-rules
Enable rules marked as noisy
--no_color
Disable color output
-o, --output <CSV_TIMELINE>
Save the timeline in CSV format. (Ex: results.csv)
-p, --pivot-keywords-list
Create a list of pivot keywords
-q, --quiet
Quiet mode. Do not display the launch banner
-Q, --quiet-errors
Quiet errors mode. Do not save error logs
-r, --rules <RULE_DIRECTORY/RULE_FILE>
Rule directory or file [default: ./rules]
-R, --hide-record-id
Do not display EventRecordID number
--rfc-2822
Output timestamp in RFC 2822 format. (Ex: Fri, 22 Feb 2022 22:00:00 -0600)
--rfc-3339
Output timestamp in RFC 3339 format. (Ex: 2022-02-22 22:00:00.123456-06:00)
-s, --statistics
Prints statistics of event IDs
--start-timeline <START_TIMELINE>
Start time of the event logs to load. (Ex: \"2020-02-22 00:00:00 +09:00\")
-t, --thread-number <NUMBER>
Thread number. [default: Optimal number for performance.]
-u, --update-rules
Update to the latest rules in the hayabusa-rules github repository
-U, --utc
Output time in UTC format. [default: local time]
-v, --verbose
Output verbose information
-V, --visualize-timeline
Output event frequency timeline
--version
Print version information
```
## Usage Examples