Yamato-Security/hayabusa v3.6.0

v3.6.0 - Nezamezuki Release

on GitHub

3.6.0 [2025/09/25] - Nezamezuki Release

Note: "Nezame-zuki" (寝覚月) means the "month where you easily wake up early" (due to the cool autumn weather starting in September)

Enhancements:

• Event and record IDs with multiple possibilities due to correlation rules are now outputted as empty strings instead of - for easier parsing. (#1694) (@fukusuket)
• We now output first and last detection timestamps instead of just the first and last timestamps found in the Results Summary of the csv-timeline and json-timeline commands. (#1688) (@fukusuket)
• The guide on how to import Hayabusa JSONL results into SOF-ELK (Elastic Stack) was updated. (#1091) (@YamatoSecurity)
• Output an empty string instead of - in the rule's modified date if it is not defined to make importing into a SIEM easier. (#1702) (@YamatoSecurity)
• Empty fields in rule metadata like RuleModifiedDate, etc... are not outputted to JSON if they are empty in order to make parsing easier and decrease file size. (#1702) (@fukusuket)

Bug Fixes:

• -T, --visualize-timeline would output incorrect results if -s, --sort was not specified so we now require -s when -T is used. (#1690) (@YamatoSecurity)
• Records outside the range specified by the time range options (--timeline-start/--timeline-end) were being displayed because we were filtering with the timestamps in the record headers instead of the timestamps in the records themselves. (#1689) (@fukusuket)
• GeoIP lookup was not working with json-timeline. (#1693) (@fukusuket)
• The search command would not consistently abbreviate fields. (#1697) (@fukusuket)

3.6.0 [2025/09/25] - 寝覚月リリース

改善:

• 相関ルールにより複数の可能性を持つイベントIDおよびレコードIDは、パースしやすくするため、-ではなく空文字列として出力されるようになった。 (#1694) (@fukusuket)
• csv-timelineおよびjson-timelineコマンドのResults Summaryに表示される最初のタイムスタンプと最後のタイムスタンプの後に、最初と最後の検出のタイムスタンプも出力するようにした。 (#1688) (@fukusuket)
• SOF-ELK（Elastic Stack）へのHayabusa JSONL結果のインポート方法に関するガイドが更新された。 (#1091) (@YamatoSecurity)
• ルールの変更日時が定義されていない場合、SIEMへのインポートを容易にするため、-の代わりに空文字列を出力する。 (#1702) (@YamatoSecurity)
• ルールメタデータ内のRuleModifiedDate等の空フィールドは、パースを容易にしファイルサイズを削減するため、JSONに出力されない。 (#1702) (@fukusuket)

バグ修正:

• -T, --visualize-timelineは、-s, --sortが指定されていない場合、正しくない結果を出力するため、-Tを使用する際には-sの指定を必須とした。 (#1690) (@YamatoSecurity)
• レコード自体のタイムスタンプではなく、レコードヘッダー内のタイムスタンプでフィルタリングしていたため、タイムレンジオプション（--timeline-start / --timeline-end）で指定した範囲外のレコードが表示されていた。 (#1689) (@fukusuket)
• GeoIP検索がjson-timelineで機能していなかった。 (#1693) (@fukusuket)
• searchコマンドにおける省略形処理は一貫していなかった。(#1697) (@fukusuket)