2024/06/05 Update
- I updated the detections rules so that they do not include two rules that cause false positives for Windows Defender for the Windows 65 bit package:
hayabusa-2.15.0-win-x64-r2.zip
(@YamatoSecurity)
2.15.0 [2024/04/20] "Sonic Release"
Enhancements:
- Added support for
windash
field modifier (ex.|contains|windash:
,|contains|all|windash:
) in sigma rules. (#1319) (@hitenkoku)- https://sigmahq.io/docs/basics/modifiers.html#windash
- Note: currently on the backend we convert the use of
windash
in rules so they are compatibile with previous versions of Hayabusa, however, around the end of May we will start to keep the use ofwindash
as-is so please update to this version before then or else you will recieve rule parsing errors if you update rules.
Bug Fixes:
-T
detection frequency timeline was not usable in version 2.14.0. (#1322) (@fukusuket)- Fixed
windash
not working when there is a wildcard. (#1327) (@hitenkoku)
改善:
- Sigmaルールの
windash
フィールド修飾子 (例:|contains|windash:
と|contains|all|windash:
)に対応した。 (#1319) (@hitenkoku)- https://sigmahq.io/docs/basics/modifiers.html#windash
- 注意: 現在、バックエンドでは、以前のバージョンのHayabusaと互換性があるようにルール内の
windash
の使用を変換しているが、5月末ごろには、windash
の使用をそのままにする予定なので、それまでにこのバージョンにアップデートしてください。
バグ修正:
- バージョン2.14.0では、
-T
の検知頻度タイムライン出力は使用できなかった。 (#1322) (@fukusuket) windash
でワイルドカードが利用できない問題を修正した。 (#1327) (@hitenkoku)