新機能:
extract-credentialsコマンド: セキュリティ4688とSysmon 1イベントのコマンドライン情報から平文の認証情報を取り出す。例:wmic、schtasks、net user、psexecの使用。 (#192) (@fukusuket)
改善:
- HTMLレポートのRule SummaryページのTotal DetectionsとUnique Detectionsの検出サマリが1つの表に統合された。(#182) (@nishikawaakira)
- HTMLレポートにComputer Summaryページが追加された。 (#183) (@nishikawaakira)
- Rule Summaryページに検出されたアラート一覧を追加した。(#175) (@nishikawaakira)
- Detection Rule Listにもっと詳細な情報を追加した。 (#176) (@nishikawaakira)
バグ修正:
- Hayabusaのデフォルトプロファイルを使用した場合、
Invalid JSON lineというエラーが表示され、失敗していた。 (#169) (@nishikawaakira) - グラフは各ルールの最初の日付まで集計されていた。 (#191) (@nishikawaakira)
その他:
- ライセンスをGPL-3.0からAGPL-3.0に変えた。(@yamatosecurity)
新機能:
HTMLレポートを作成するための新しいhtml-reportコマンド。(#165) (@nishikawaakira)
改善:
stack-logonsコマンドに-f, --failedLogonsオプションを追加して、automagicコマンドで失敗したログイン集計を出力するようにした。 (#152) (@fukusuket)- MITRE ATT&CKをv15.0に更新した。 (#155) (@fukusuket)
バグ修正:
- treeform/puppy#118 によるmacOSでのコンパイルエラーを修正した。 (#158) (@YamatoSecurity)
- Nim 2.0.6でのコンパイルエラーを修正した。 (#162) (@fukusuket)
timeline-suspicious-processesコマンドでアラートレベルの情報が表示されていなかった。 (#167) (@fukusuket)
新機能:
automagicコマンド: 可能な限り多くのコマンドを自動的に実行し、結果を新しいフォルダに出力する。(#132) (@fukusuket)stack-computersコマンド:Computer(デフォルト)またはSrcCompフィールドのスタック分析をしながら、アラート情報も提供する。(#125) (@fukusuket)stack-ip-addressesコマンド:SrcIP(デフォルト)またはTgtIPフィールドのスタック分析をしながら、アラート情報も提供する。(#129) (@fukusuket)stack-usersコマンド:TgtUser(デフォルト)またはSrcUserフィールドのスタック分析をしながら、アラート情報も提供する。(#130) (@fukusuket)- スキャン時に複数の
.jsonlファイルが入っているディレクトリを指定できるようになった。 #133 (@hitenkoku)
改善:
- 重複するコードを削除するためのリファクタリング。 (#99) (@fukusuket)
- JSONのパースを
jsonyに変更することで、処理速度が2倍以上速くなった。 (#122) (@fukusuket) - 読みやすくするため、大きな数字に小数点を追加した。 (#120) (@fukusuket)
新機能:
stack-cmdlinesコマンド: 実行されたコマンドラインのスタック分析。(#94) (@fukusuket)stack-dnsコマンド: DNSリクエストのスタック分析。(#95) (@fukusuket)stack-processesコマンド: 実行されたプロセスのスタック分析。(#93) (@fukusuket)stack-tasksコマンド: スケジュールされたタスクのパースとスタック分析。(#97) (@fukusuket)timeline-tasksコマンド: 作成されたスケジュールタスクをパースし、CSVファイルに保存する。 (#110) (@fukusuket)ttp-visualize-sigmaコマンド: MITRE ATT&CK Navigatorにアップロードし、SigmaルールのTTPをヒートマップで可視化するために、JSONファイルに作成する。(#92) (@fukusuket)
改善:
ttp-visualizeコマンド: ヒートマップにカラーグラデーションを追加した。(#90) (@fukusuket)
バグ修正:
split-csv-timelineコマンドが、Haybuasa 2.13.0のCSV結果で失敗するので、修正した。(#103) (@fukusuket)
改善:
ttp-visualizeコマンドで、MITRE ATT&CK Navigator上のテクニックをマウスオーバーしたときに、検知ルール名が表示されるようした。(#82) (@fukusuket)ttp-summaryコマンドの結果にルールのタイトルを追加した。(#83) (@fukusuket)
バグ修正:
timeline-suspicious-processコマンドで、Security 4688またはSysmon 1のイベント数が0であり、他の形式のイベントがある場合、CSVファイルは保存されなかった。(#86) (@YamatoSecurity)
新機能:
- ATT&CK Navigatorで可視化するために、TTPを抽出してJSONファイルを作成する
ttp-visualizeコマンドを追加した。 (#76) (@fukusuket) - コンピュータ毎に検知されたTTPsの要約を出力する
ttp-summaryコマンドを追加した。 (#78) (@fukusuket)
バグ修正:
timeline-partition-diagnosticコマンドの文字化けを修正した。 (#74) (@fukusuket)
新機能:
- Windows10の
Microsoft-Windows-Partition%4Diagnostic.evtxを解析し、接続されたすべてのデバイスおよびそれらのボリュームシリアル番号に関する情報を出力するtimeline-partition-diagnosticコマンドを追加した。現在および過去に接続されたデバイスに関する情報を出力する。 (処理は https://github.com/theAtropos4n6/Partition-4DiagnosticParser を参考に作成された) (#70) (@fukusuket)
改善:
vt-lookupコマンドのプログレスバーの表示を改善した。 (#68) (@fukusuket)
バグ修正:
- キーが存在しない場合の未処理の例外のバグを修正した。 (#65) (@fukusuket)
- JSON入力の場合、
extract-scriptblocksコマンドで改行処理が正しく行われていなかった。 (#71) (@fukusuket)
新機能:
- PowerShell EID 4104のScriptBlockログを元に戻す
extract-scriptblocksコマンドを追加した。 (#47) (@fukusuket)
改善:
- TakajoがNim 2.0.0でコンパイルできるようになった。(#31) (@fukusuket)
- 依存関係を減らすため、HTTPクライアントをPuppyに置き換えた。 (#33) (@fukusuket)
- パフォーマンス向上のため、VirusTotalクエリをマルチスレッドにした。 (#33) (@fukusuket)
- タイムラインを指定する際のファイル存在チェックを追加した。 (@fukusuket)
- タイムラインがJSONL形式でない場合の警告を追加した。(#43) (@fukusuket)
sysmon-process-treeコマンドでルートプロセス情報も出力する。プロセスがタイムスタンプ順にソートされるようになった。(#54) (@fukusuket)
バグ修正:*
- Hayabusa 2.8.0以上の結果で
timeline-suspicious-processesを実行した際のクラッシュを修正した。 (#35) (@fukusuket) - 無効なAPIキーが指定された場合に、VirusTotalの検索でJSONパースエラーが発生する問題を修正した。(@fukusuket)
sysmon-process-treeコマンドでプロセス情報が2回出力されることがあるバグを修正した。(#52) (@fukusuket)timeline-suspicious-processesがParentPGUIDフィールドを正しく出力していなかったので修正した。また、PIDの10進数変換を改善した。(#50) (@fukusuket)- 指定された
PGUIDが無効であるか、JSONL タイムラインに存在しない場合にエラーが発生する問題を修正した。 (#53) (@fukusuket)
2.0.0 [2022/08/03] - SANS DFIR Summit 2023 Release
新機能:
list-domains:vt-domain-lookupコマンドで使用する、重複のないドメインのリストを作成する。 (@YamatoSecurity)list-hashes:vt-hash-lookupで使用するプロセスのハッシュ値のリストを作成する。 (@YamatoSecurity)list-ip-addresses:vt-ip-lookupコマンドで使用する、重複のない送信元/送信先のIPリストを作成する。 (@YamatoSecurity)split-csv-timeline: コンピューター名に基づき、大きなCSVタイムラインを小さなCSVタイムラインに分割する。 (@YamatoSecurity)split-json-timeline: コンピューター名に基づき、大きなJSONLタイムラインを小さなJSONLタイムラインに分割する。 (@fukusuket)stack-logons: ユーザー名、コンピューター名、送信元IPアドレス、送信元コンピューター名など、項目ごとの上位ログオンを出力する。 (@YamatoSecurity)sysmon-process-tree: プロセスツリーを出力する。 (@hitenkoku)timeline-logon: ログオンイベントのCSVタイムラインを作成する。 (@YamatoSecurity)timeline-suspicious-processes: 不審なプロセスのCSVタイムラインを作成する。 (@YamatoSecurity)vt-domain-lookup: VirusTotalでドメインのリストを検索し、悪意のあるドメインをレポートする。 (@YamatoSecurity)vt-hash-lookup: VirusTotalでハッシュのリストを検索し、悪意のあるハッシュ値をレポートする。 (@YamatoSecurity)vt-ip-lookup: VirusTotalでIPアドレスのリストを検索し、悪意のあるIPアドレスをレポートする。 (@YamatoSecurity)
v1.0.0 [2022/10/28] - Code Blue 2022 Bluebox Release
新機能:
list-undetected-evtx-files: 検知しなかったルールファイルの一覧を表示する機能を追加した。 (#4) (@hitenkoku)list-unused-rules: 検知しなかったevtxファイルの一覧を表示する機能を追加した。 (#4) (@hitenkoku)- ロゴを追加。
-q, --quietで表示しないようにできる。 (#12) (@YamatoSecurity @hitenkoku) -o, --outputオプションの追加。結果を別ファイルにtxt形式で出力する機能を追加した。 (#11) (@hitenkoku)