From bd4f433b73da0724bbd5e3970f10aca542d6b138 Mon Sep 17 00:00:00 2001 From: Tanaka Zakku <71482215+YamatoSecurity@users.noreply.github.com> Date: Wed, 2 Mar 2022 10:13:45 +0900 Subject: [PATCH 1/7] readme update - 32bit compile add --- README-Japanese.md | 19 ++++++++++++++++++- README.md | 22 ++++++++++++++++++++-- 2 files changed, 38 insertions(+), 3 deletions(-) diff --git a/README-Japanese.md b/README-Japanese.md index 2c8bb095..664cfaa8 100644 --- a/README-Japanese.md +++ b/README-Japanese.md @@ -37,6 +37,7 @@ Hayabusaは、日本の[Yamato Security](https://yamatosecurity.connpass.com/) - [予定されている機能](#予定されている機能) - [ダウンロード](#ダウンロード) - [ソースコードからのコンパイル(任意)](#ソースコードからのコンパイル任意) + - [32ビットWindowsバイナリのクロスコンパイル](#32ビットwindowsバイナリのクロスコンパイル) - [macOSでのコンパイルの注意点](#macosでのコンパイルの注意点) - [アドバンス: Rustパッケージの更新](#アドバンス-rustパッケージの更新) - [サンプルevtxファイルでHayabusaをテストする](#サンプルevtxファイルでhayabusaをテストする) @@ -152,13 +153,29 @@ rulesフォルダ配下でファイルを削除や更新をしていた場合は # ソースコードからのコンパイル(任意) -rustがインストールされている場合、以下のコマンドでソースコードからコンパイルすることができます: +Rustがインストールされている場合、以下のコマンドでソースコードからコンパイルすることができます: ```bash cargo clean cargo build --release ``` +以下のコマンドで定期的にRustをアップデートしてください: +```bash +rustup update +``` + +コンパイルされたバイナリは`target/release`フォルダ配下で作成されます。 + +## 32ビットWindowsバイナリのクロスコンパイル + +以下のコマンドで64ビットのWindows端末で32ビットのバイナリをクロスコンパイルできます: +```bash +rustup install stable-i686-pc-windows-msvc +rustup target add i686-pc-windows-msvc +rustup run stable-i686-pc-windows-msvc cargo build --release +``` + ## macOSでのコンパイルの注意点 opensslについてのコンパイルエラーが表示される場合は、[Homebrew](https://brew.sh/)をインストールしてから、以下のパッケージをインストールする必要があります: diff --git a/README.md b/README.md index 57e0ce07..44409f45 100644 --- a/README.md +++ b/README.md @@ -37,6 +37,7 @@ Hayabusa is a **Windows event log fast forensics timeline generator** and **thre - [Planned Features](#planned-features) - [Downloads](#downloads) - [Compiling from source (Optional)](#compiling-from-source-optional) + - [Cross-compiling 32-bit Windows binaries](#cross-compiling-32-bit-windows-binaries) - [Notes on compiling on macOS](#notes-on-compiling-on-macos) - [Advanced: Updating Rust packages](#advanced-updating-rust-packages) - [Testing hayabusa out on sample evtx files](#testing-hayabusa-out-on-sample-evtx-files) @@ -152,13 +153,30 @@ In this case, you can get latest Hayabusa if you renamed rules folder and execut # Compiling from source (Optional) -If you have rust installed, you can compile from source with the following command: +If you have Rust installed, you can compile from source with the following command: ```bash cargo clean cargo build --release ``` +Be sure to periodically update Rust with: + +```bash +rustup update +``` + +The compiled binary will be outputted in the `target/release` folder. + +## Cross-compiling 32-bit Windows binaries + +You can create 32-bit binaries on 64-bit Windows systems with the following: +```bash +rustup install stable-i686-pc-windows-msvc +rustup target add i686-pc-windows-msvc +rustup run stable-i686-pc-windows-msvc cargo build --release +``` + ## Notes on compiling on macOS If you receive compile errors about openssl, you will need to install [Homebrew](https://brew.sh/) and then install the following packages: @@ -169,7 +187,7 @@ brew install openssl ## Advanced: Updating Rust packages -You can update to the latest rust crates before compiling to get the latest libraries: +You can update to the latest Rust crates before compiling to get the latest libraries: ```bash cargo update From 02628526ec804ba4c7fb8c26faef1204506c3071 Mon Sep 17 00:00:00 2001 From: Tanaka Zakku <71482215+YamatoSecurity@users.noreply.github.com> Date: Wed, 2 Mar 2022 13:34:33 +0900 Subject: [PATCH 2/7] use standard cargo build to compile --- README-Japanese.md | 2 +- README.md | 2 +- 2 files changed, 2 insertions(+), 2 deletions(-) diff --git a/README-Japanese.md b/README-Japanese.md index 664cfaa8..fb3ed9c9 100644 --- a/README-Japanese.md +++ b/README-Japanese.md @@ -173,7 +173,7 @@ rustup update ```bash rustup install stable-i686-pc-windows-msvc rustup target add i686-pc-windows-msvc -rustup run stable-i686-pc-windows-msvc cargo build --release +cargo build --release --target=stable-i686-pc-windows-msvc ``` ## macOSでのコンパイルの注意点 diff --git a/README.md b/README.md index 44409f45..de340e81 100644 --- a/README.md +++ b/README.md @@ -174,7 +174,7 @@ You can create 32-bit binaries on 64-bit Windows systems with the following: ```bash rustup install stable-i686-pc-windows-msvc rustup target add i686-pc-windows-msvc -rustup run stable-i686-pc-windows-msvc cargo build --release +cargo build --release --target=stable-i686-pc-windows-msvc ``` ## Notes on compiling on macOS From 4572bb98f485cd704d8c0ff8bff16dc8f8c631f1 Mon Sep 17 00:00:00 2001 From: Tanaka Zakku <71482215+YamatoSecurity@users.noreply.github.com> Date: Wed, 2 Mar 2022 16:19:25 +0900 Subject: [PATCH 3/7] add linux compile comment --- README-Japanese.md | 15 +++++++++++++++ README.md | 15 +++++++++++++++ 2 files changed, 30 insertions(+) diff --git a/README-Japanese.md b/README-Japanese.md index fb3ed9c9..a8036484 100644 --- a/README-Japanese.md +++ b/README-Japanese.md @@ -39,6 +39,7 @@ Hayabusaは、日本の[Yamato Security](https://yamatosecurity.connpass.com/) - [ソースコードからのコンパイル(任意)](#ソースコードからのコンパイル任意) - [32ビットWindowsバイナリのクロスコンパイル](#32ビットwindowsバイナリのクロスコンパイル) - [macOSでのコンパイルの注意点](#macosでのコンパイルの注意点) + - [Linuxでのコンパイルの注意点](#linuxでのコンパイルの注意点) - [アドバンス: Rustパッケージの更新](#アドバンス-rustパッケージの更新) - [サンプルevtxファイルでHayabusaをテストする](#サンプルevtxファイルでhayabusaをテストする) - [使用方法](#使用方法) @@ -184,6 +185,20 @@ brew install pkg-config brew install openssl ``` +## Linuxでのコンパイルの注意点 + +opensslについてのコンパイルエラーが表示される場合は、以下のパッケージをインストールする必要があります。 + +Ubuntu系のディストロ: +```bash +sudo apt install libssl-dev +``` + +Fedora系のディストロ: +```bash +sudo yum install openssl-devel +``` + ## アドバンス: Rustパッケージの更新 コンパイル前に最新のRust crateにアップデートすることで、最新のライブラリを利用することができます: diff --git a/README.md b/README.md index de340e81..843bcd33 100644 --- a/README.md +++ b/README.md @@ -39,6 +39,7 @@ Hayabusa is a **Windows event log fast forensics timeline generator** and **thre - [Compiling from source (Optional)](#compiling-from-source-optional) - [Cross-compiling 32-bit Windows binaries](#cross-compiling-32-bit-windows-binaries) - [Notes on compiling on macOS](#notes-on-compiling-on-macos) + - [Notes on compiling on Linux](#notes-on-compiling-on-linux) - [Advanced: Updating Rust packages](#advanced-updating-rust-packages) - [Testing hayabusa out on sample evtx files](#testing-hayabusa-out-on-sample-evtx-files) - [Usage](#usage) @@ -185,6 +186,20 @@ brew install pkg-config brew install openssl ``` +## Notes on compiling on Linux + +If you receive compile errors about openssl, you will need to install the following package. + +Ubuntu-based distros: +```bash +sudo apt install libssl-dev +``` + +Fedora-based distros: +```bash +sudo yum install openssl-devel +``` + ## Advanced: Updating Rust packages You can update to the latest Rust crates before compiling to get the latest libraries: From 5fdcd40179df224f3ba025087fc05652dd14d4ac Mon Sep 17 00:00:00 2001 From: Tanaka Zakku <71482215+YamatoSecurity@users.noreply.github.com> Date: Wed, 2 Mar 2022 17:02:19 +0900 Subject: [PATCH 4/7] usage update --- README-Japanese.md | 83 +++++++++++++++------------------------------- README.md | 56 +++++++++---------------------- 2 files changed, 41 insertions(+), 98 deletions(-) diff --git a/README-Japanese.md b/README-Japanese.md index a8036484..5d5255a3 100644 --- a/README-Japanese.md +++ b/README-Japanese.md @@ -123,13 +123,13 @@ CSVのタイムラインをExcelやTimeline Explorerで分析する方法は[こ * 現在、他の類似ツールに比べ最も多くのSigmaルールをサポートしており、カウントルールにも対応しています。 * イベントログの統計(どのような種類のイベントがあるのかを把握し、ログ設定のチューニングに有効です。) * 不良ルールやノイズの多いルールを除外するルールチューニング設定が可能です。 +* MITRE ATT&CKとのマッピング # 予定されている機能 * すべてのエンドポイントでの企業全体のスレットハンティング * 日本語対応 -* MITRE ATT&CK とのマッピング -* MITRE ATT&CK ヒートマップ生成機能 +* MITRE ATT&CKのヒートマップ生成機能 * ユーザーログオンと失敗したログオンのサマリー * JSONログからの入力 * JSONへの出力→Elastic Stack/Splunkへのインポート @@ -234,63 +234,32 @@ Windows Terminalからhayabusaを標準出力で解析させたい場合は、 ` ```bash USAGE: - -d --directory=[DIRECTORY] 'Directory of multiple .evtx files.' - -f --filepath=[FILEPATH] 'File path to one .evtx file.' - -r --rules=[RULEDIRECTORY/RULEFILE] 'Rule file or directory (default: ./rules)' - -c --color 'Output with color. (Terminal needs to support True Color.)' - -o --output=[CSV_TIMELINE] 'Save the timeline in CSV format. (example: results.csv)' - -v --verbose 'Output verbose information.' - -D --enable-deprecated-rules 'Enable sigma rules marked as deprecated.' - -n --enable-noisy-rules 'Enable rules marked as noisy.' - -u --update-rules 'Clone latest hayabusa-rule' - -m --min-level=[LEVEL] 'Minimum level for rules. (default: informational)' - -l --live-analysis 'Analyze to WINDIR\System32\winevt\Logs (Windows Only. Need Administrator privileges.)' - --start-timeline=[STARTTIMELINE] 'Start time of the event to load from event file. (example: '2018/11/28 12:00:00 +09:00')' - --end-timeline=[ENDTIMELINE] 'End time of the event to load from event file. (example: '2018/11/28 12:00:00 +09:00')' - --rfc-2822 'Output date and time in RFC 2822 format. (example: Mon, 07 Aug 2006 12:34:56 -0600)' - --rfc-3339 'Output date and time in RFC 3339 format. (example: 2006-08-07T12:34:56.485214 -06:00)' - -U --utc 'Output time in UTC format. (default: local time)' - -t --thread-number=[NUMBER] 'Thread number. (default: optimal number for performance.)' - -s --statistics 'Prints statistics of event IDs.' - -q --quiet 'Quiet mode. Do not display the launch banner.' - -Q --quiet-errors 'Quiet errors mode. Do not save error logs.' - --contributors 'Prints the list of contributors.' - -FLAGS: - -c, --color Output with color. (Terminal needs to support True Color.) - --contributors Prints the list of contributors. - -D, --enable-deprecated-rules Enable sigma rules marked as deprecated. - -n, --enable-noisy-rules Enable rules marked as noisy. - -h, --help Prints help information - -l, --live-analysis Analyze to WINDIR\System32\winevt\Logs (Windows Only. Need Administrator - privileges.) - -q, --quiet Quiet mode. Do not display the launch banner. - -Q, --quiet-errors Quiet errors mode. Do not save error logs. - --rfc-2822 Output date and time in RFC 2822 format. (example: Mon, 07 Aug 2006 12:34:56 -0600) - --rfc-3339 Output date and time in RFC 3339 format. (example: 2006-08-07T12:34:56.485214 - -06:00) - -s, --statistics Prints statistics of event IDs. - -u, --update-rules Clone latest hayabusa-rule - -U, --utc Output time in UTC format. (default: local time) - -V, --version Prints version information - -v, --verbose Output verbose information. - -OPTIONS: - -d, --directory Directory of multiple .evtx files. - --end-timeline End time of the event to load from event file. (example: '2018/11/28 - 12:00:00 +09:00') - -f, --filepath File path to one .evtx file. - -m, --min-level Minimum level for rules. (default: informational) - -o, --output Save the timeline in CSV format. (example: results.csv) - -r, --rules Rule file or directory (default: ./rules) - --start-timeline Start time of the event to load from event file. (example: '2018/11/28 - 12:00:00 +09:00') - -t, --thread-number Thread number. (default: optimal number for performance.) + -d --directory=[DIRECTORY] '複数の.evtxファイルのディレクトリ。' + -f --filepath=[FILEPATH] '1つの.evtxファイルへのファイルパス。' + -r --rules=[RULEFILE/RULEDIRECTORY] 'ルールファイルまたはディレクトリ。(デフォルト: ./rules)' + -c --color 'カラーで出力する。 (ターミナルはTrue Colorに対応する必要があある。)' + -o --output=[CSV_TIMELINE] 'タイムラインをCSV形式で保存する。(例: results.csv)' + -v --verbose '詳細な情報を出力する。' + -D --enable-deprecated-rules 'Deprecatedルールを有効にする。' + -n --enable-noisy-rules 'Noisyルールを有効にする。' + -u --update-rules 'hayabusa-rulesのgithubリポジトリにある最新のルールに更新する。' + -m --min-level=[LEVEL] 'ルールの最低レベル。(デフォルト: informational)' + -l --live-analysis 'ローカル端末のC:\Windows\System32\winevt\Logsフォルダを解析する。(Windowsのみ。管理者権限が必要。)' + --start-timeline=[STARTTIMELINE] 'ロードするイベントログの開始時刻。(例: '2018/11/28 12:00:00 +09:00')' + --end-timeline=[ENDTIMELINE] 'ロードするイベントログの終了時刻。(例: '2018/11/28 12:00:00 +09:00')' + --rfc-2822 'RFC 2822形式で日付と時刻を出力する。(例: Mon, 07 Aug 2006 12:34:56 -0600)' + --rfc-3339 'RFC 3339形式で日付と時刻を出力する。 (例: 2006-08-07T12:34:56.485214 -06:00)' + -U --utc 'UTC形式で日付と時刻を出力する。(デフォルト: 現地時間)' + -t --thread-number=[NUMBER] 'スレッド数。(デフォルト: パフォーマンスに最適な数値)' + -s --statistics 'イベント ID の統計情報を表示する。' + -q --quiet 'Quietモード。起動バナーを表示しない。' + -Q --quiet-errors 'Quiet errorsモード。エラーログを保存しない。' + --contributors 'コントリビュータの一覧表示。' ``` ## 使用例 -* 1 つのWindowsイベントログファイルに対してHayabusaを実行します: +* 1つのWindowsイベントログファイルに対してHayabusaを実行します: ```bash .\hayabusa.exe -f eventlog.evtx @@ -302,7 +271,7 @@ OPTIONS: .\hayabusa.exe -d .\hayabusa-sample-evtx ``` -* 1 つのCSVファイルにエクスポートして、EXCELやTimeline Explorerでさらに分析することができます: +* 1つのCSVファイルにエクスポートして、EXCELやTimeline Explorerでさらに分析することができます: ```bash .\hayabusa.exe -d .\hayabusa-sample-evtx -o results.csv @@ -341,7 +310,7 @@ OPTIONS: * ログオン情報を分析するルールのみを実行し、UTCタイムゾーンで出力します: ```bash -.\hayabusa.exe -d .\hayabusa-sample-evtx -r ./rules/Hayabusa/default/events/Security/Logons -u -o results.csv +.\hayabusa.exe -d .\hayabusa-sample-evtx -r ./rules/Hayabusa/default/events/Security/Logons -U -o results.csv ``` * 起動中のWindows端末上で実行し(Administrator権限が必要)、アラート(悪意のある可能性のある動作)のみを検知します: diff --git a/README.md b/README.md index 843bcd33..324a0a96 100644 --- a/README.md +++ b/README.md @@ -120,13 +120,13 @@ You can learn how to analyze CSV timelines in Excel and Timeline Explorer [here] * Sigma rule support to convert sigma rules to hayabusa rules * Currently it supports the most sigma rules compared to other similar tools and even supports count rules * Event log statistics (Useful for getting a picture of what types of events there are and for tuning your log settings) -* Rule tuning configuration by excluding bad rules or noisy rules +* Rule tuning configuration by excluding unneeded or noisy rules +* MITRE ATT&CK mapping # Planned Features * Enterprise-wide hunting on all endpoints * Japanese language support -* MITRE ATT&CK mapping * MITRE ATT&CK heatmap generation * User logon and failed logon summary * Input from JSON logs @@ -238,51 +238,25 @@ This is known Windows Terminal bug which will eventually be fixed but for the me USAGE: -d --directory=[DIRECTORY] 'Directory of multiple .evtx files.' -f --filepath=[FILEPATH] 'File path to one .evtx file.' - -r --rules=[RULEDIRECTORY/RULEFILE] 'Rule file or directory (default: ./rules)' + -r --rules=[RULEFILE/RULEDIRECTORY] 'Rule file or directory. (Default: ./rules)' -c --color 'Output with color. (Terminal needs to support True Color.)' - -o --output=[CSV_TIMELINE] 'Save the timeline in CSV format. (example: results.csv)' + -o --output=[CSV_TIMELINE] 'Save the timeline in CSV format. (Example: results.csv)' -v --verbose 'Output verbose information.' - -D --enable-deprecated-rules 'Enable sigma rules marked as deprecated.' + -D --enable-deprecated-rules 'Enable rules marked as deprecated.' -n --enable-noisy-rules 'Enable rules marked as noisy.' - -m --min-level=[LEVEL] 'Minimum level for rules. (default: informational)' - --start-timeline=[STARTTIMELINE] 'Start time of the event to load from event file. (example: '2018/11/28 12:00:00 +09:00')' - --end-timeline=[ENDTIMELINE] 'End time of the event to load from event file. (example: '2018/11/28 12:00:00 +09:00')' - --rfc-2822 'Output date and time in RFC 2822 format. (example: Mon, 07 Aug 2006 12:34:56 -0600)' - --rfc-3339 'Output date and time in RFC 3339 format. (example: 2006-08-07T12:34:56.485214 -06:00)' - -u --utc 'Output time in UTC format. (default: local time)' - -t --thread-number=[NUMBER] 'Thread number. (default: optimal number for performance.)' + -u --update-rules 'Update to the latest rules in the hayabusa-rules github repository.' + -m --min-level=[LEVEL] 'Minimum level for rules. (Default: informational)' + -l --live-analysis 'Analyze the local C:\Windows\System32\winevt\Logs folder (Windows Only. Administrator privileges required.)' + --start-timeline=[STARTTIMELINE] 'Start time of the event logs to load. (Example: '2018/11/28 12:00:00 +09:00')' + --end-timeline=[ENDTIMELINE] 'End time of the event logs to load. (Example: '2018/11/28 12:00:00 +09:00')' + --rfc-2822 'Output date and time in RFC 2822 format. (Example: Mon, 07 Aug 2006 12:34:56 -0600)' + --rfc-3339 'Output date and time in RFC 3339 format. (Example: 2006-08-07T12:34:56.485214 -06:00)' + -U --utc 'Output time in UTC format. (Default: local time)' + -t --thread-number=[NUMBER] 'Thread number. (Default: Optimal number for performance.)' -s --statistics 'Prints statistics of event IDs.' -q --quiet 'Quiet mode. Do not display the launch banner.' -Q --quiet-errors 'Quiet errors mode. Do not save error logs.' --contributors 'Prints the list of contributors.' - -FLAGS: - -c, --color Output with color. (Terminal needs to support True Color.) - --contributors Prints the list of contributors. - -D, --enable-deprecated-rules Enable sigma rules marked as deprecated. - -n, --enable-noisy-rules Enable rules marked as noisy. - -h, --help Prints help information - -q, --quiet Quiet mode. Do not display the launch banner. - -Q, --quiet-errors Quiet errors mode. Do not save error logs. - --rfc-2822 Output date and time in RFC 2822 format. (example: Mon, 07 Aug 2006 12:34:56 -0600) - --rfc-3339 Output date and time in RFC 3339 format. (example: 2006-08-07T12:34:56.485214 - -06:00) - -s, --statistics Prints statistics of event IDs. - -u, --utc Output time in UTC format. (default: local time) - -V, --version Prints version information - -v, --verbose Output verbose information. - -OPTIONS: - -d, --directory Directory of multiple .evtx files. - --end-timeline End time of the event to load from event file. (example: '2018/11/28 - 12:00:00 +09:00') - -f, --filepath File path to one .evtx file. - -m, --min-level Minimum level for rules. (default: informational) - -o, --output Save the timeline in CSV format. (example: results.csv) - -r, --rules Rule file or directory (default: ./rules) - --start-timeline Start time of the event to load from event file. (example: '2018/11/28 - 12:00:00 +09:00') - -t, --thread-number Thread number. (default: optimal number for performance.) ``` ## Usage examples @@ -338,7 +312,7 @@ OPTIONS: * Only run rules to analyze logons and output in the UTC timezone: ```bash -.\hayabusa.exe -d .\hayabusa-sample-evtx -r .\rules\hayabusa\default\events\Security\Logons -u -o results.csv +.\hayabusa.exe -d .\hayabusa-sample-evtx -r .\rules\hayabusa\default\events\Security\Logons -U -o results.csv ``` * Run on a live Windows machine (requires Administrator privileges) and only detect alerts (potentially malicious behavior): From 7bc845ea81ed1b0d9960f91ff275e830dbeff678 Mon Sep 17 00:00:00 2001 From: Tanaka Zakku <71482215+YamatoSecurity@users.noreply.github.com> Date: Wed, 2 Mar 2022 18:14:28 +0900 Subject: [PATCH 5/7] cross compile command fix --- README-Japanese.md | 2 +- README.md | 2 +- 2 files changed, 2 insertions(+), 2 deletions(-) diff --git a/README-Japanese.md b/README-Japanese.md index 5d5255a3..56795dbc 100644 --- a/README-Japanese.md +++ b/README-Japanese.md @@ -174,7 +174,7 @@ rustup update ```bash rustup install stable-i686-pc-windows-msvc rustup target add i686-pc-windows-msvc -cargo build --release --target=stable-i686-pc-windows-msvc +rustup run stable-i686-pc-windows-msvc cargo build --release ``` ## macOSでのコンパイルの注意点 diff --git a/README.md b/README.md index 324a0a96..13da4e83 100644 --- a/README.md +++ b/README.md @@ -175,7 +175,7 @@ You can create 32-bit binaries on 64-bit Windows systems with the following: ```bash rustup install stable-i686-pc-windows-msvc rustup target add i686-pc-windows-msvc -cargo build --release --target=stable-i686-pc-windows-msvc +rustup run stable-i686-pc-windows-msvc cargo build --release ``` ## Notes on compiling on macOS From b43f41e7f25ae601a8e4214a215c257c01c5dc81 Mon Sep 17 00:00:00 2001 From: Alan Smithee Date: Wed, 2 Mar 2022 17:59:39 +0900 Subject: [PATCH 6/7] fixed command option in usage - UTC option is changed from -u to -U - Run onlive Windows machine is adjusted -l (--live-analysis) --- README-Japanese.md | 2 +- README.md | 2 +- 2 files changed, 2 insertions(+), 2 deletions(-) diff --git a/README-Japanese.md b/README-Japanese.md index 5d5255a3..6efd463b 100644 --- a/README-Japanese.md +++ b/README-Japanese.md @@ -316,7 +316,7 @@ USAGE: * 起動中のWindows端末上で実行し(Administrator権限が必要)、アラート(悪意のある可能性のある動作)のみを検知します: ```bash -.\hayabusa.exe -d C:\Windows\System32\winevt\Logs -m low +.\hayabusa.exe -l -m low ``` * イベントIDの統計情報を取得します: diff --git a/README.md b/README.md index 324a0a96..0aa63859 100644 --- a/README.md +++ b/README.md @@ -318,7 +318,7 @@ USAGE: * Run on a live Windows machine (requires Administrator privileges) and only detect alerts (potentially malicious behavior): ```bash -.\hayabusa.exe -d C:\Windows\System32\winevt\Logs -m low +.\hayabusa.exe -l -m low ``` * Get event ID statistics: From 5d4c465bcce9c0a61c8ca2a484a006e48295a238 Mon Sep 17 00:00:00 2001 From: Alan Smithee Date: Wed, 2 Mar 2022 18:28:44 +0900 Subject: [PATCH 7/7] fixed janapese usage readme --- README-Japanese.md | 16 ++++++++-------- 1 file changed, 8 insertions(+), 8 deletions(-) diff --git a/README-Japanese.md b/README-Japanese.md index 6efd463b..0c4585d9 100644 --- a/README-Japanese.md +++ b/README-Japanese.md @@ -234,19 +234,19 @@ Windows Terminalからhayabusaを標準出力で解析させたい場合は、 ` ```bash USAGE: - -d --directory=[DIRECTORY] '複数の.evtxファイルのディレクトリ。' - -f --filepath=[FILEPATH] '1つの.evtxファイルへのファイルパス。' - -r --rules=[RULEFILE/RULEDIRECTORY] 'ルールファイルまたはディレクトリ。(デフォルト: ./rules)' - -c --color 'カラーで出力する。 (ターミナルはTrue Colorに対応する必要があある。)' + -d --directory=[DIRECTORY] '.evtxファイルを持つディレクトリのパス。' + -f --filepath=[FILEPATH] '1つの.evtxファイルのパス。' + -r --rules=[RULEFILE/RULEDIRECTORY] 'ルールファイルまたはルールファイルを持つディレクトリ。(デフォルト: ./rules)' + -c --color 'カラーで出力する。 (ターミナルはTrue Colorに対応する必要がある。)' -o --output=[CSV_TIMELINE] 'タイムラインをCSV形式で保存する。(例: results.csv)' -v --verbose '詳細な情報を出力する。' -D --enable-deprecated-rules 'Deprecatedルールを有効にする。' -n --enable-noisy-rules 'Noisyルールを有効にする。' - -u --update-rules 'hayabusa-rulesのgithubリポジトリにある最新のルールに更新する。' - -m --min-level=[LEVEL] 'ルールの最低レベル。(デフォルト: informational)' + -u --update-rules 'rulesフォルダをhayabusa-rulesのgithubリポジトリの最新版に更新する。' + -m --min-level=[LEVEL] '結果出力をするルールの最低レベル。(デフォルト: informational)' -l --live-analysis 'ローカル端末のC:\Windows\System32\winevt\Logsフォルダを解析する。(Windowsのみ。管理者権限が必要。)' - --start-timeline=[STARTTIMELINE] 'ロードするイベントログの開始時刻。(例: '2018/11/28 12:00:00 +09:00')' - --end-timeline=[ENDTIMELINE] 'ロードするイベントログの終了時刻。(例: '2018/11/28 12:00:00 +09:00')' + --start-timeline=[STARTTIMELINE] '解析対象とするイベントログの開始時刻。(例: '2018/11/28 12:00:00 +09:00')' + --end-timeline=[ENDTIMELINE] '解析対象とするイベントログの終了時刻。(例: '2018/11/28 12:00:00 +09:00')' --rfc-2822 'RFC 2822形式で日付と時刻を出力する。(例: Mon, 07 Aug 2006 12:34:56 -0600)' --rfc-3339 'RFC 3339形式で日付と時刻を出力する。 (例: 2006-08-07T12:34:56.485214 -06:00)' -U --utc 'UTC形式で日付と時刻を出力する。(デフォルト: 現地時間)'