From a0f967b71b4500fa0b9299ec4e2743d619f31e6f Mon Sep 17 00:00:00 2001 From: Yamato Security <71482215+YamatoSecurity@users.noreply.github.com> Date: Sun, 29 Oct 2023 10:40:18 +0900 Subject: [PATCH 1/2] update readme --- README-Japanese.md | 9 ++++++++- README.md | 9 ++++++++- 2 files changed, 16 insertions(+), 2 deletions(-) diff --git a/README-Japanese.md b/README-Japanese.md index 491061af6..186d306b4 100644 --- a/README-Japanese.md +++ b/README-Japanese.md @@ -146,7 +146,7 @@ Hayabusaは、日本の[Yamato Security](https://yamatosecurity.connpass.com/) ### スレット(脅威)ハンティングと企業向けの広範囲なDFIR -Hayabusaには現在、2300以上のSigmaルールと150以上のHayabusa検知ルールがあり、定期的にルールが追加されています。 +Hayabusaには現在、2500以上のSigmaルールと150以上のHayabusa検知ルールがあり、定期的にルールが追加されています。 [Velociraptor](https://docs.velociraptor.app/)の[Hayabusa artifact](https://docs.velociraptor.app/exchange/artifacts/pages/windows.eventlogs.hayabusa/)を用いることで企業向けの広範囲なスレットハンティングだけでなくDFIR(デジタルフォレンジックとインシデントレスポンス)にも無料で利用することが可能です。 この2つのオープンソースを組み合わせることで、SIEMが設定されていない環境でも実質的に遡及してSIEMを再現することができます。 具体的な方法は[Eric Capuano](https://twitter.com/eric_capuano)の[こちら](https://www.youtube.com/watch?v=Q1IoGX--814)の動画で学ぶことができます。 @@ -250,6 +250,7 @@ JSON形式の結果を`jq`で解析する方法については、[こちら](/do * フィールドデータのマッピング (例: `0xc0000234` -> `ACCOUNT LOCKED`) * 空領域からのEvtxレコードカービング。 * 出力時のイベント重複排除。(レコード復元が有効になっている場合や、バックアップされたevtxファイル、VSSから抽出されたevtxファイルなどが含まれている場合に便利。) +* スキャン設定ウィザードにより、有効にするルールの選択が容易に。(誤検出を減らすためなど。) # ダウンロード @@ -647,7 +648,9 @@ Filtering: --exclude-eid 高速化のために特定のEIDをスキャンしない (例: 1) (例: 1,4688) --exclude-status 読み込み対象外とするルール内でのステータス (例1: experimental) (例2: stable,test) --include-computer 特定のコンピュータ名のみをスキャンする (例: ComputerA) (例: ComputerA,ComputerB) + --exclude-tag 特定のタグを持つルールをロードしない (例: sysmon) --include-eid 指定したEIDのみをスキャンして高速化する (例 1) (例: 1,4688) + --include-tag 特定のタグを持つルールのみをロードする (例1: attack.execution,attack.discovery) (例2: wmi) -m, --min-level 結果出力をするルールの最低レベル (デフォルト: informational) --timeline-end 解析対象とするイベントログの終了時刻 (例: "2022-02-22 23:59:59 +09:00") --timeline-offset オフセットに基づく最近のイベントのスキャン (例: 1y, 3M, 30d, 24h, 30m) @@ -835,6 +838,7 @@ Display Settings: General Options: -C, --clobber 結果ファイルを上書きする + -w, --no-wizard 質問はしない。すべてのイベントとアラートをスキャンする -Q, --quiet-errors Quiet errorsモード: エラーログを保存しない -r, --rules ルールファイルまたはルールファイルを持つディレクトリ (デフォルト: ./rules) -c, --rules-config ルールフォルダのコンフィグディレクトリ (デフォルト: ./rules/config) @@ -1093,6 +1097,7 @@ Display Settings: General Options: -C, --clobber 結果ファイルを上書きする + -w, --no-wizard 質問はしない。すべてのイベントとアラートをスキャンする -Q, --quiet-errors Quiet errorsモード: エラーログを保存しない -r, --rules ルールファイルまたはルールファイルを持つディレクトリ (デフォルト: ./rules) -c, --rules-config ルールフォルダのコンフィグディレクトリ (デフォルト: ./rules/config) @@ -1548,6 +1553,8 @@ Windows機での悪性な活動を検知する為には、デフォルトのロ ## 日本語 +* 2023/09/29 NECセキュリティブログ: [HayabusaとSplunkによるファストフォレンジック効率化](https://jpn.nec.com/cybersecurity/blog/230929/index.html) +* 2023/09/13 FFRIセキュリティブログ: [HayabusaによるWindowsイベントログ解析](https://engineers.ffri.jp/entry/2023/09/13/130750) * 2023/03/14 Fukusuke Takahashi氏による[Hayabusa開発者向けRustパフォーマンスガイド](doc/RustPerformance-Japanese.md) * 2022/01/22 [@kzzzzo2](https://qiita.com/kzzzzo2)氏による[Hayabusa結果をElastic Stackで可視化する方法](https://qiita.com/kzzzzo2/items/ead8ccc77b7609143749) * 2021/12/31 itiB ([@itiB_S144](https://twitter.com/itiB_S144))氏による[Windowsイベントログ解析ツール「Hayabusa」を使ってみる](https://itib.hatenablog.com/entry/2021/12/31/222946) diff --git a/README.md b/README.md index 1e10ecadc..4f3927064 100644 --- a/README.md +++ b/README.md @@ -146,7 +146,7 @@ Hayabusa is a **Windows event log fast forensics timeline generator** and **thre ### Threat Hunting and Enterprise-wide DFIR -Hayabusa currently has over 2300 Sigma rules and over 150 Hayabusa built-in detection rules with more rules being added regularly. +Hayabusa currently has over 2500 Sigma rules and over 150 Hayabusa built-in detection rules with more rules being added regularly. It can be used for enterprise-wide proactive threat hunting as well as DFIR (Digital Forensics and Incident Response) for free with [Velociraptor](https://docs.velociraptor.app/)'s [Hayabusa artifact](https://docs.velociraptor.app/exchange/artifacts/pages/windows.eventlogs.hayabusa/). By combining these two open-source tools, you can essentially retroactively reproduce a SIEM when there is no SIEM setup in the environment. You can learn about how to do this by watching [Eric Capuano](https://twitter.com/eric_capuano)'s Velociraptor walkthrough [here](https://www.youtube.com/watch?v=Q1IoGX--814). @@ -250,6 +250,7 @@ You can learn how to analyze JSON-formatted results with `jq` [here](doc/Analysi * Field data mapping. (Ex: `0xc0000234` -> `ACCOUNT LOCKED`) * Evtx record carving from evtx slack space. * Event de-duplication when outputting. (Useful when recovery records is enabled or when you include backed up evtx files, evtx files from VSS, etc...) +* Scan setting wizard to help choose which rules to enable easier. (In order to reduce false positives, etc...) # Downloads @@ -646,8 +647,10 @@ Filtering: --exclude-computer Do not scan specified computer names (ex: ComputerA) (ex: ComputerA,ComputerB) --exclude-eid Do not scan specific EIDs for faster speed (ex: 1) (ex: 1,4688) --exclude-status Do not load rules according to status (ex: experimental) (ex: stable,test) + --exclude-tag Do not load rules with specific tags (ex: sysmon) --include-computer Scan only specified computer names (ex: ComputerA) (ex: ComputerA,ComputerB) --include-eid Scan only specified EIDs for faster speed (ex: 1) (ex: 1,4688) + --include-tag Only load rules with specific tags (ex: attack.execution,attack.discovery) -m, --min-level Minimum level for rules to load (default: informational) --timeline-end End time of the event logs to load (ex: "2022-02-22 23:59:59 +09:00") --timeline-offset Scan recent events based on an offset (ex: 1y, 3M, 30d, 24h, 30m) @@ -835,6 +838,7 @@ Display Settings: General Options: -C, --clobber Overwrite files when saving + -w, --no-wizard Do not ask questions. Scan for all events and alerts -Q, --quiet-errors Quiet errors mode: do not save error logs -r, --rules Specify a custom rule directory or file (default: ./rules) -c, --rules-config Specify custom rule config directory (default: ./rules/config) @@ -1093,6 +1097,7 @@ Display Settings: General Options: -C, --clobber Overwrite files when saving + -w, --no-wizard Do not ask questions. Scan for all events and alerts -Q, --quiet-errors Quiet errors mode: do not save error logs -r, --rules Specify a custom rule directory or file (default: ./rules) -c, --rules-config Specify custom rule config directory (default: ./rules/config) @@ -1548,6 +1553,8 @@ To create the most forensic evidence and detect with the highest accuracy, you n ## Japanese +* 2023/09/29 [Fast Forensics with Hayabusa and Splunk](https://jpn.nec.com/cybersecurity/blog/230929/index.html) by NEC Security Blog +* 2023/09/13 [Windows Event Log Analysis with Hayabusa](https://engineers.ffri.jp/entry/2023/09/13/130750) by FFRI * 2022/03/14 [Rust Performance Guide for Hayabusa Developers](doc/RustPerformance-Japanese.md) by Fukusuke Takahashi * 2022/01/22 [Visualizing Hayabusa results in Elastic Stack](https://qiita.com/kzzzzo2/items/ead8ccc77b7609143749) by [@kzzzzo2](https://qiita.com/kzzzzo2) * 2021/12/31 [Intro to Hayabusa](https://itib.hatenablog.com/entry/2021/12/31/222946) by itiB ([@itiB_S144](https://twitter.com/itiB_S144)) From 0373c07ba7e13bc35cc6058680d0d8c6ff5488f0 Mon Sep 17 00:00:00 2001 From: Yamato Security <71482215+YamatoSecurity@users.noreply.github.com> Date: Mon, 30 Oct 2023 08:34:56 +0900 Subject: [PATCH 2/2] add scan wizard explanation --- README-Japanese.md | 9 +++++++++ README.md | 9 +++++++++ 2 files changed, 18 insertions(+) diff --git a/README-Japanese.md b/README-Japanese.md index 186d306b4..ab9ef8766 100644 --- a/README-Japanese.md +++ b/README-Japanese.md @@ -67,6 +67,7 @@ Hayabusaは、日本の[Yamato Security](https://yamatosecurity.connpass.com/) - [Linuxでのコンパイルの注意点](#linuxでのコンパイルの注意点) - [LinuxのMUSLバイナリのクロスコンパイル](#linuxのmuslバイナリのクロスコンパイル) - [Hayabusaの実行](#hayabusaの実行) +- [スキャンウィザード](#スキャンウィザード) - [注意: アンチウィルス/EDRの誤検知と遅い初回実行](#注意-アンチウィルスedrの誤検知と遅い初回実行) - [Windows](#windows) - [パスにスペースが含まれるファイルまたはディレクトリをスキャンしようとするとエラーが発生した場合](#パスにスペースが含まれるファイルまたはディレクトリをスキャンしようとするとエラーが発生した場合) @@ -370,6 +371,14 @@ MUSLバイナリはGNUバイナリより約15%遅いですが、より多く # Hayabusaの実行 +# スキャンウィザード + +`csv-timeline`や`json-timeline`などのコマンドは、デフォルトでスキャンウィザードが有効になりました。 +これは、ユーザのニーズや好みに応じて、どの検知ルールを有効にするかを簡単に選択できるようにするためのものであります。 +読み込む検知ルールのセットは、Sigmaプロジェクトの公式リストに基づいています。 +詳細は[このブログ記事](https://blog.sigmahq.io/introducing-sigma-rule-packages-releases-76043ce42e81)で説明されています。 +`w, --no-wizard`オプションを追加することで、簡単にウィザードを無効にし、従来の方法でHayabusaを使用できます。 + ## 注意: アンチウィルス/EDRの誤検知と遅い初回実行 Hayabusa実行する際や、`.yml`ルールのダウンロードや実行時にルール内でdetectionに不審なPowerShellコマンドや`mimikatz`のようなキーワードが書かれている際に、アンチウィルスやEDRにブロックされる可能性があります。 diff --git a/README.md b/README.md index 4f3927064..a9852b28e 100644 --- a/README.md +++ b/README.md @@ -67,6 +67,7 @@ Hayabusa is a **Windows event log fast forensics timeline generator** and **thre - [Linux Compiling Notes](#linux-compiling-notes) - [Cross-compiling Linux MUSL Binaries](#cross-compiling-linux-musl-binaries) - [Running Hayabusa](#running-hayabusa) + - [Scan Wizard](#scan-wizard) - [Caution: Anti-Virus/EDR Warnings and Slow Runtimes](#caution-anti-virusedr-warnings-and-slow-runtimes) - [Windows](#windows) - [Error when trying to scan a file or directory with a space in the path](#error-when-trying-to-scan-a-file-or-directory-with-a-space-in-the-path) @@ -370,6 +371,14 @@ MUSL binaries are are about 15% slower than the GNU binaries, however, they are # Running Hayabusa +## Scan Wizard + +Commands like `csv-timeline` and `json-timeline` now have a scan wizard enabled by default. +This is intended to help users easily choose which detection rules they want to enable according to their needs and preferences. +The sets of detections rules to load are based off of the official lists in the Sigma project. +Details are explained in [this blog post](https://blog.sigmahq.io/introducing-sigma-rule-packages-releases-76043ce42e81). +You can easily turn off the wizard and use Hayabusa in its traditional way by adding the `-w, --no-wizard` option. + ## Caution: Anti-Virus/EDR Warnings and Slow Runtimes You may receive an alert from anti-virus or EDR products when trying to run hayabusa or even just when downloading the `.yml` rules as there will be keywords like `mimikatz` and suspicious PowerShell commands in the detection signature.