2.17.0 [2024/08/23] "HITCON Release"
Note: the hayabusa-2.17.0-win-x64-embedded-config.zip
binary has its config files embedded into the binary to reduce the number of files. This is intended for when Hayabusa is used for live analysis or used with Velociraptor.
New Features:
- Support for the Sigma V2
|re:
submodifers. (#1399) (@fukusuket)- Reference: https://github.com/SigmaHQ/sigma-specification/blob/main/appendix/sigma-modifiers-appendix.md
|re|i:
: (insensitive) disable case-sensitive matching.|re|m:
: (multi-line) match across multiple lines.^
/$
match the start/end of line.|re|s:
: (single-line) the dot character (.
) matches all characters, including the newline character.
- Reference: https://github.com/SigmaHQ/sigma-specification/blob/main/appendix/sigma-modifiers-appendix.md
- Support for the Sigma V2
|exists:
modifier. (#1400) (@hitenkoku) - Support for the Sigma V2
|cased:
modifier. (#1401) (@hitenkoku)
Enhancements:
- Support for the newer version 0.6.x
cidr-utils
crate. (#1366) (@hitenkoku) - Added support for Sigma correlation rule's
name
lookup. (#1363) (@fukusuket) - Enabled low memory mode by default.
-s, --low-memory-mode
is now-s, --sort-events
- Sort events before outputting results. (warning: this uses much more memory!). (#1361) (@hitenkoku)- Note: you need to enable sorting in order to use
-R, --remove-duplicate-data
and-X, --remove-duplicate-detections
.
- Note: you need to enable sorting in order to use
- Sigma correlation reference rules now do not output alerts by default. You can enable them by adding
generate: true
to the rule. (#1367) (@fukusuket) Data
fields are now displayed as indexed strings instead of as allData
fields or in an array for JSON. (#1371) (@fukusuket)- Before:
"Data": ["17514", "Multiprocessor Free", "Service Pack 1"]
- After:
"Data[3]": "17514", "Data[4]": "Multiprocessor Free", "Data[5]": "Service Pack 1"
- Before:
- The configuration files in the
config
folder are now also embedded in the binary to reduce the number of files in the release package. (#1370) (@hitenkoku)- Note: you will not be able to run the
set-default-profile
command without theconfig
directory files as it relies onconfig/default_profile.yaml
.
- Note: you will not be able to run the
- Aggregation rule alerts now show
Channel
andEventID
information even when there are multiple results. (#1342) (@fukusuket) - In the JSON timeline, when there is no information in the
Details
field, we changed the default output of"-"
to{}
in order to make parsing easier. (#1386) (@hitenkoku) - Added support for the
–
(en dash),—
(em dash), and―
(horizontal bar) characters for thewindash
modifier to prevent signature bypass. (#1392) (@hitenkoku) - Updated the MITRE ATT&CK tags to support Sigma version 2 format. (Ex:
defense_evasion
=>defense-evasion
) (@fukusuket) - Updated the
evtx
crate to the latest for enhancements and bug fixes.
Bug Fixes:
- Sigma correlation rule count was not showing up in
Events with hits
. (#1373) (@fukusuket) - Correlation rule count was not showing up in
Events with hits
. (#1374) (@fukusuket) - Aggregation condition rule count was not showing up in
Events with hits
. (#1375) (@fukusuket) - In rare cases, the list of rule authors would not be displayed to the terminal. (#1383) (@fukusuket)
新機能:
- Sigma V2の
|re:
のサブモディファイアに対応した。 submodifers. (#1399) (@fukusuket)- 参考: https://github.com/SigmaHQ/sigma-specification/blob/main/appendix/sigma-modifiers-appendix.md
|re|i:
: (insensitive) 大文字小文字を区別しないマッチングを無効にする。|re|m:
: (multi-line) 複数行にまたがってマッチする。^
/$
は行頭/行末にマッチする。|re|s:
: (single-line) ドット文字 (.
) は改行文字を含むすべての文字にマッチする。
- 参考: https://github.com/SigmaHQ/sigma-specification/blob/main/appendix/sigma-modifiers-appendix.md
- Sigma V2の
|exists:
モディファイアに対応した。 (#1400) (@hitenkoku) - Sigma V2の
|cased:
モディファイアに対応した。 (#1401) (@hitenkoku)
改善:
cidr-utils
クレートを新バージョン0.6.xに対応した。 (#1366) (@hitenkoku)- Sigma相関ルールの
name
ルックアップに対応した。 (#1363) (@fukusuket) - デフォルトで低メモリモードを有効にした。
-s, --low-memory-mode
は、-s, --sort-events
- 出力/保存する前に結果をソートする。(注意: より多くのメモリを消費する。)(#1361) (@hitenkoku)- 注意:
-R, --remove-duplicate-data
または-X, --remove-duplicate-detections
を使用するには、ソートを有効にする必要がある。
- 注意:
- Sigma相関ルールが参照しているルールは、デフォルトで結果を出力しないようにした。ルールに
generate: true
を指定すると、出力される。 (#1367) (@fukusuket) Data
フィールドは、すべてData
フィールドとして、またはJSONの配列としてではなく、インデックス化された文字列として表示されるようになった。(#1371) (@fukusuket)- 前:
"Data": ["17514", "Multiprocessor Free", "Service Pack 1"]
- 後:
"Data[3]": "17514", "Data[4]": "Multiprocessor Free", "Data[5]": "Service Pack 1"
- 前:
- リリースパッケージのファイル数を減らすために、
config
フォルダ内の設定ファイルもバイナリに埋め込まれるようにした。 (#1370) (@hitenkoku)- 注意:
set-default-profile
コマンドは、config/default_profile.yaml
に依存しているので、config
ディレクトリファイルがないと実行できない。
- 注意:
- 集計ルールのアラートに、複数の結果がある場合でも
Channel
とEventID
の情報が表示されるようにした。 (#1342) (@fukusuket) - JSONタイムラインで
Details
フィールドに情報がない場合、JSONがパースしやすくなるように、デフォルトで出力される"-"
を{}
に変更した。(#1386) (@hitenkoku) - シグネチャーバイパスを防ぐため、
-
(エンダッシュ)、-
(エムダッシュ)、―
(水平バー) 文字をwindash
修飾子でサポートするようにした。(#1392) (@hitenkoku) - MITRE ATT&CKタグをSigmaバージョン2の形式に対応させた。(例:
defense_evasion
=>defense-evasion
) (@fukusuket) evtx
クレートを最新のものに更新し、機能改善とバグ修正を行った。
バグ修正:
- Sigmaの相関ルールのカウントが
Events with hits
に表示されていなかった。(#1373) (@fukusuket) - 相関ルールのカウントが
Events with hits
に表示されていなかった。(#1374) (@fukusuket) - 集計ルールのカウントが
Events with hits
に表示されていなかった。(#1375) (@fukusuket) - まれに、ルール作成者の一覧が表示されないことがあった。 (#1383) (@fukusuket)