Merge branch 'develop' into feature/added_update_command#391

2022-02-16 09:58:31 +09:00
parent fcf43faa73 0a559da580
commit e4cb853df0
10 changed files with 568 additions and 469 deletions
--- a/README-Japanese.md
+++ b/README-Japanese.md
@@ -1,11 +1,18 @@
 <div align="center">
 <p>
-
-  ![Hayabusa Logo](hayabusa-logo.png)
- 
+    <img alt="Hayabusa Logo" src="hayabusa-logo.png" width="50%">
 </p>
+  [<a href="README.md">English</a>] | [<b>日本語</b>]
 </div>

+---
+
+[tag-1]: https://img.shields.io/github/downloads/Yamato-Security/hayabusa/total?style=plastic&label=GitHub%F0%9F%A6%85DownLoads
+[tag-2]: https://img.shields.io/github/stars/Yamato-Security/hayabusa?style=plastic&label=GitHub%F0%9F%A6%85Stars
+[tag-3]: https://img.shields.io/github/v/release/Yamato-Security/hayabusa?display_name=tag&label=latest-version&style=plastic
+
+![tag-1] ![tag-2] ![tag-3]
+
 # Hayabusa について

 Hayabusaは、日本の[Yamato Security](https://yamatosecurity.connpass.com/)グループによって作られた**Windowsイベントログのファストフォレンジックタイムライン生成**および**スレットハンティングツール**です。 Hayabusaは日本語で[「ハヤブサ」](https://en.wikipedia.org/wiki/Peregrine_falcon)を意味し、ハヤブサが世界で最も速く、狩猟(hunting)に優れ、とても訓練しやすい動物であることから選ばれました。[Rust](https://www.rust-lang.org/) で開発され、マルチスレッドに対応し、可能な限り高速に動作するよう配慮されています。[Sigma](https://github.com/SigmaHQ/Sigma)ルールをHayabusaルール形式に変換する[ツール](https://github.com/Yamato-Security/hayabusa/tree/main/tools/Sigmac)も提供しています。Hayabusaの検知ルールもSigmaと同様にYML形式であり、カスタマイズ性や拡張性に優れます。稼働中のシステムで実行してライブ調査することも、複数のシステムからログを収集してオフライン調査することも可能です。(※現時点では、リアルタイムアラートや定期的なスキャンには対応していません。) 出力は一つのCSVタイムラインにまとめられ、Excelや[Timeline Explorer](https://ericzimmerman.github.io/#!index.md)で簡単に分析できるようになります。
@@ -152,6 +159,7 @@ USAGE:
    -n --enable-noisy-rules 'Enable rules marked as noisy.'
    -u --update-rules 'Clone latest hayabusa-rule'
    -m --min-level=[LEVEL] 'Minimum level for rules. (default: informational)'
+    -l --live-analysis 'Analyze to WINDIR\System32\winevt\Logs (Windows Only. Need Administrator privileges.)'
    --start-timeline=[STARTTIMELINE] 'Start time of the event to load from event file. (example: '2018/11/28 12:00:00 +09:00')'
    --end-timeline=[ENDTIMELINE] 'End time of the event to load from event file. (example: '2018/11/28 12:00:00 +09:00')'
    --rfc-2822 'Output date and time in RFC 2822 format. (example: Mon, 07 Aug 2006 12:34:56 -0600)'
@@ -169,6 +177,8 @@ FLAGS:
    -D, --enable-deprecated-rules    Enable sigma rules marked as deprecated.
    -n, --enable-noisy-rules         Enable rules marked as noisy.
    -h, --help                       Prints help information
+    -l, --live-analysis              Analyze to WINDIR\System32\winevt\Logs (Windows Only. Need Administrator
+                                     privileges.)
    -q, --quiet                      Quiet mode. Do not display the launch banner.
    -Q, --quiet-errors               Quiet errors mode. Do not save error logs.
        --rfc-2822                   Output date and time in RFC 2822 format. (example: Mon, 07 Aug 2006 12:34:56 -0600)