2.18.0 [2024/10/23] "Sector Release"
New Features:
- Support for the
fieldrefmodifier (alias to theequalsfieldmodifier). (#1409) (@hitenkoku) - The
fieldref|endswithmodifier was created as an alias toendswithfieldto replace it in the future. (#1437) (@fukusuket) - Support for
fieldref|startswithandfieldref|containsmodifiers. (#1439) (@fukusuket) - Support for XOR encoded rules to minimize files put on the system as well as bypass anti-virus products that give false positives on rules. (#1419) (@fukusuket)
- We will include packages in the Releases page that are already configured to use this. If you wanted to manually configure this though, download encoded_rules.yml and place it in the Hayabusa's root folder. This file is created from the rules in the hayabusa-rules repository and is automatically updated anytime there is a rule update. Delete all of the files inside the
rulesfolder except for theconfigdirectory as those files are not yet contained in a single file. - Note: The report generated by the
-Hoption cannot create a link to the rule (only the rule name is outputted.) rules/configconfig files are now loaded from a single file rules_config_files.txt to reduce the number of files needed to be stored on a target system for live response. (#1420) (@fukusuket)
- We will include packages in the Releases page that are already configured to use this. If you wanted to manually configure this though, download encoded_rules.yml and place it in the Hayabusa's root folder. This file is created from the rules in the hayabusa-rules repository and is automatically updated anytime there is a rule update. Delete all of the files inside the
Bug Fixes:
- Unneeded line breaks when using
-oin thesearchcommand. (#1425) (@fukusuket) - Sigma correlation rules required the
group-byfield but now it is optional. (#1442) (@fukusuket) - Hayabusa will give an error message if the rules referenced by a correlation rule are not found. (#1444) (@fukusuket)
- Field information was not being outputted when the
all-field-infoprofiles were used. (#1450) (@fukusuket)
Other:
- License is changed from GPL-3.0 to AGPL-3.0. (@YamatoSecurity)
新機能:
fieldrefモディファイア(equalsfieldモディファイアのエリアス)に対応した。(#1409) (@hitenkoku)fieldref|startswithとfieldref|containsモディファイアに対応した。 (#1439) (@fukusuket)fieldref|endswithモディファイアは、endswithfieldをリプレースするためのエイリアスとして作成された。(#1437) (@fukusuket)- XORエンコードされたルールをサポートし、端末に置かれるファイルを最小限に抑えるとともに、ルールに過検知するアンチウイルス製品を回避する。(#1419) (@fukusuket)
- リリースページで、この機能を設定済みのパッケージを含める予定。手動で設定したい場合は、encoded_rules.ymlをダウンロードして、Hayabusaのルートフォルダに置いてください。このファイルは、hayabusa-rulesリポジトリ内のルールから作成されており、ルールが更新されるたびに自動的にアップデートされる。configディレクトリ以外のrulesフォルダ内のファイルは、まだ単一ファイルに含まれていないので削除してください。
- 注意: -Hオプションで生成されるレポートは、ルールへのリンクを作成せず、ルール名だけが出力される。
rules/configの設定ファイルが単一のファイルrules_config_files.txtからロードされるようになり、ライブ調査のためにターゲットシステムに保存する必要があるファイル数が減った。(#1420) (@fukusuket)
バグ修正:
searchコマンドの-oオプションを使用した際に不要な改行が出力されていた。(#1425) (@fukusuket)- Sigma相関ルールの
group-byフィールドは、必須だったが任意に変えた。(#1442) (@fukusuket) - Hayabusaは、相関ルールで参照されているルールが見つからない場合、エラーメッセージを表示するようにした。 (#1444) (@fukusuket)
all-field-infoプロファイルを使用した場合、フィールド情報が出力されなかった。 (#1450) (@fukusuket)
その他:
- ライセンスをGPL-3.0からAGPL-3.0に変えた。(@YamatoSecurity)