🦅 New Features:
- Added
-V / --visualize-timeline
option: Event Frequency Timeline feature to visualize the number of events. (Note: There needs to be more than 5 events and you need to use a terminal like Windows Terminal, iTerm2, etc... for it to properly render.) (#533, #566) (@hitenkoku) - Display all the
tags
defined in a rule to theMitreAttack
column when saving to CSV file with the--all-tags
option. (#525) (@hitenkoku) - Added the
-R / --display-record-id
option: Display the event record ID (<Event><System><EventRecordID>
). (#548) (@hitenkoku) - Display dates with most detections. (#550) (@hitenkoku)
- Display the top 5 computers with the most unique detections. (#557) (@hitenkoku)
🦅 Enhancements:
- In the
details
line in a rule, when a placeholder points to a field that does not exist or there is an incorrect alias mapping, it will be outputted asn/a
(not available). (#528) (@hitenkoku) - Display total event and data reduction count. (How many and what percent of events were ignored.) (#538) (@hitenkoku)
- New logo. (#536) (@YamatoSecurity)
- Display total evtx file size. (#540) (@hitenkoku)
- Changed logo color. (#537) (@hitenkoku)
- Display the original
Channel
name when not specified inchannel_abbrevations.txt
. (#553) (@hitenkoku) - Display separately
Ignored rules
toExclude rules
,Noisy rules
, andDeprecated rules
. (#556) (@hitenkoku) - Display results messge when
output
option is set. (#561) (@hitenkoku)
🐛 Bug Fixes:
- Fixed the
--start-timeline
and--end-timeline
options as they were not working. (#546) @hitenkoku) - Fixed crash bug when level in rule is not valid. (#560) (@hitenkoku)
🦅 新機能:
--visualize-timeline
オプションで検知されたイベントが5つ以上の時、イベント頻度のタイムラインを作成するようにした。 (#533, #566) (@hitenkoku)--all-tags
オプションでルールにある全てのtagsを、outputで指定したcsvのMitreAttackの列に出力するようにした。 (#525) (@hitenkoku)-R
/--display-record-id
オプションの追加。evtx file内のレコードを特定するレコードID<Event><System><EventRecordID>
が出力できるようになった。 (#548) (@hitenkoku)- レベルごとの検知数が最も多い日を表示するようにした。 (#550) (@hitenkoku)
- レベルごとの検知数上位3つのコンピュータ名を表示するようにした。 (#557)(@hitenkoku)
🦅 改善:
- ルールの
details
でeventkey_alias.txtやEvent.EventData内に存在しない情報をn/a
(not available)と表記するようにした。(#528) (@hitenkoku) - 読み込んだイベント数と検知しなかったイベント数を表示するようにした。 (#538) (@hitenkoku)
- 新しいロゴに変更した。(#536) (@YamatoSecurity)
- evtxファイルのファイルサイズの合計を出力するようにした。(#540) (@hitenkoku)
- ロゴの色を変更した (#537) (@hitenkoku)
- Channelの列にchannel_abbrevations.txtに記載されていないチャンネルも表示するようにした。(#553) (@hitenkoku)
Ignored rules
として集計されていたExclude rules
、Noisy rules
、Deprecated rules
に分けて表示するようにした。 (#556) (@hitenkoku)output
オプションが指定されているときに、ファイル出力中のメッセージを表示するようにした。 (#561) (@hitenkoku)
🐛 バグ修正:
--start-timeline
、--end-timeline
オプションが動かなかったのを修正した。 (#546) (@hitenkoku)- ルール内の
level
が正しくない場合に検知数が最も多い日の集計の際にcrashが起きるのを修正した。 (#560) (@hitenkoku)