Changes
🦅 New Features:
- Customizable output of fields defined at
config/profiles.yaml
andconfig/default_profile.yaml
. (#165) (@hitenkoku) - Implemented the
null
keyword for rule detection. It is used to check if a target field exists or not. (#643) (@hitenkoku)
🦅 Enhancements:
- Trimmed
./
from the rule path when updating. (#642) (@hitenkoku) - Added new output aliases for MITRE ATT&CK tags and other tags. (#637) (@hitenkoku)
- Organized the menu output when
-h
is used. (#651) (@YamatoSecurity and @hitenkoku) - Added commas to summary numbers to make them easier to read. (#649) (@hitenkoku)
- Added output percentage of detections in Result Summary. (#658) (@hitenkoku)
🐛 Bug Fixes:
- Fixed miscalculation of Data Reduction due to aggregation condition rule detection. (#640) (@hitenkoku)
- Fixed a race condition bug where a few events (around 0.01%) would not be detected. (#639 #660) (@fukusuket)
変更点
🦅 新機能:
config/profiles.yaml
とconfig/default_profile.yaml
の設定ファイルで、出力内容をカスタマイズできる。 (#165) (@hitenkoku)- 対象のフィールドがレコード内に存在しないことを確認する
null
キーワードに対応した。 (#643) (@hitenkoku)
🦅改善:
- ルールのアップデート機能のルールパスの出力から./を削除した。 (#642) (@hitenkoku)
- MITRE ATT&CK関連のタグとその他タグを出力するための出力用のエイリアスを追加した。 (#637) (@hitenkoku)
- 結果概要の数値をカンマをつけて見やすくした。 (#649) (@hitenkoku)
-h
オプションでメニューを使いやすいようにグループ化した。 (#651) (@YamatoSecurity and @hitenkoku)- 結果概要内の検知数にパーセント表示を追加した。 (#658) (@hitenkoku)
🐛 バグ修正:
- aggregation conditionのルール検知が原因で検知しなかったイベント数の集計に誤りがあったので修正した。 (#640) (@hitenkoku)
- 一部のイベント(0.01%程度)が検出されないレースコンディションの不具合を修正した。 (#639 #660) (@fukusuket)