From 35d9fd57e6468ce5ffb055bdb307b3a7426aa03a Mon Sep 17 00:00:00 2001 From: Yamato Security <71482215+YamatoSecurity@users.noreply.github.com> Date: Mon, 24 Jun 2024 19:02:45 +0900 Subject: [PATCH] update changelog --- CHANGELOG-Japanese.md | 7 ++++--- CHANGELOG.md | 1 + 2 files changed, 5 insertions(+), 3 deletions(-) diff --git a/CHANGELOG-Japanese.md b/CHANGELOG-Japanese.md index 3b3bb9b32..5db70f90d 100644 --- a/CHANGELOG-Japanese.md +++ b/CHANGELOG-Japanese.md @@ -5,9 +5,10 @@ **改善:** - `cidr-utils`クレートを新バージョン0.6.xに対応した。 (#1366) (@hitenkoku) -- Sigma correlationルールの`name`ルックアップに対応した。 (#1363) (@fukusuket) +- Sigma相関ルールの`name`ルックアップに対応した。 (#1363) (@fukusuket) - デフォルトで低メモリモードを有効にした。`-s, --low-memory-mode`は、`-s, --sort-events` - 出力/保存する前に結果をソートする。(注意: より多くのメモリを消費する。)(#1361) (@hitenkoku) - 注意: `-R, --remove-duplicate-data`または`-X, --remove-duplicate-detections`を使用するには、ソートを有効にする必要がある。 +- Sigma相関ルールが参照しているルールは、デフォルトで結果を出力しないようにした。`generate: true`を指定すると、出力される。 (#1367) (@fukusuket) ## 2.16.0 [2024/06/11] @@ -19,8 +20,8 @@ - [Mimikatz Use](https://github.com/SigmaHQ/sigma/blob/master/rules/windows/builtin/win_alert_mimikatz_keywords.yml) - デフォルトでは、適用可能なルールを持つ`.evtx`ファイルのみ読み込む。たとえば、さまざまなイベントログのディレクトリをスキャンしている場合でも、 `Channel: Security` を探すルールのみを有効にした場合、Hayabusaは`Security`以外のすべてのイベントログを無視します。ベンチマークでは、通常のスキャンで約10%、単一のルールでスキャンする場合は最大60%以上のパフォーマンス向上が得られる。チャネルに関係なくすべての`.evtx`ファイルを読み込みたい場合は、`csv-timeline` と `json-timeline` の `-a、--scan-all-evtx-files` オプションでこのフィルタリングをオフにすることができる。(#1318) (@fukusuket) - 注意: チャンネルフィルタリングは .evtx ファイルにのみ適用され、`-J, --json-input`オプションを使用してイベントログをJSONファイルから読み込む際に`-A`または`-a`を指定するとエラーが発生する。(#1345) (@fukusuket) -- Sigma CorrelationのEvent Countに対応した。 (#1337) (@fukusuket) -- Sigma CorrelationのValue Countに対応した。 (#1338) (@fukusuket) +- Sigma相関ルールのEvent Countに対応した。 (#1337) (@fukusuket) +- Sigma相関ルールのValue Countに対応した。 (#1338) (@fukusuket) **改善:** diff --git a/CHANGELOG.md b/CHANGELOG.md index 51adef38c..9a8e2b79c 100644 --- a/CHANGELOG.md +++ b/CHANGELOG.md @@ -8,6 +8,7 @@ - Added support for Sigma correlation rule's `name` lookup. (#1363) (@fukusuket) - Enabled low memory mode by default. `-s, --low-memory-mode` is now `-s, --sort-events` - Sort events before outputting results. (warning: this uses much more memory!). (#1361) (@hitenkoku) - Note: you need to enable sorting in order to use `-R, --remove-duplicate-data` and `-X, --remove-duplicate-detections`. +- Sigma correlation reference rules now do not output alerts by default. You can enable them by adding `generate: true`. (#1367) (@fukusuket) ## 2.16.0 [2024/06/11]