Merge pull request #1476 from Yamato-Security/1468-add-rdp-logon-summary

feat: add RDS log to `logon-summary`

.github/workflows/timeline-diff.yml

@@ -29,8 +29,8 @@ jobs:
       - name: Run on dev branch
         run: |
           cargo run --release -- update-rules -q
-          cargo run --release -- csv-timeline -d ./hayabusa-sample-evtx -o dev.csv -p super-verbose -q -w -D -n -u -s
-          cargo run --release -- json-timeline -d ./hayabusa-sample-evtx -o dev.jsonl -L -p super-verbose -q -w -D -n -u -s
+          cargo run --release -- csv-timeline -t 1 -d ./hayabusa-sample-evtx -o dev.csv -p super-verbose -q -w -D -n -u -s
+          cargo run --release -- json-timeline -t 1 -d ./hayabusa-sample-evtx -o dev.jsonl -L -p super-verbose -q -w -D -n -u -s
 
       - name: Run on dev branch(encoded_rules)
         run: |
@@ -41,8 +41,8 @@ jobs:
           curl -O https://raw.githubusercontent.com/Yamato-Security/hayabusa-encoded-rules/refs/heads/main/encoded_rules.yml
           curl -O https://raw.githubusercontent.com/Yamato-Security/hayabusa-encoded-rules/refs/heads/main/rules_config_files.txt
           ./hayabusa update-rules -q
-          ./hayabusa csv-timeline -d ./hayabusa-sample-evtx -o dev-encoded.csv -p super-verbose -q -w -D -n -u -s
-          ./hayabusa json-timeline -d ./hayabusa-sample-evtx -o dev-encoded.jsonl -L -p super-verbose -q -w -D -n -u -s
+          ./hayabusa csv-timeline -t 1 -d ./hayabusa-sample-evtx -o dev-encoded.csv -p super-verbose -q -w -D -n -u -s
+          ./hayabusa json-timeline -t 1 -d ./hayabusa-sample-evtx -o dev-encoded.jsonl -L -p super-verbose -q -w -D -n -u -s
           mv ../config ./
           mv ../rules ./
           mv encoded_rules.yml ../
@@ -52,8 +52,8 @@ jobs:
         run: |
           git checkout main
           cargo run --release -- update-rules -q
-          cargo run --release -- csv-timeline -d ./hayabusa-sample-evtx -o main.csv -p super-verbose -q -w -D -n -u
-          cargo run --release -- json-timeline -d ./hayabusa-sample-evtx -o main.jsonl -L -p super-verbose -q -w -D -n -u
+          cargo run --release -- csv-timeline -t 1 -d ./hayabusa-sample-evtx -o main.csv -p super-verbose -q -w -D -n -u
+          cargo run --release -- json-timeline -t 1 -d ./hayabusa-sample-evtx -o main.jsonl -L -p super-verbose -q -w -D -n -u
 
       - name: Run on main branch(encoded_rules)
         run: |
@@ -64,8 +64,8 @@ jobs:
           curl -O https://raw.githubusercontent.com/Yamato-Security/hayabusa-encoded-rules/refs/heads/main/rules_config_files.txt
           cp target/release/hayabusa .
           ./hayabusa update-rules -q
-          ./hayabusa csv-timeline -d ./hayabusa-sample-evtx -o main-encoded.csv -p super-verbose -q -w -D -n -u
-          ./hayabusa json-timeline -d ./hayabusa-sample-evtx -o main-encoded.jsonl -L -p super-verbose -q -w -D -n -u
+          ./hayabusa csv-timeline -t 1 -d ./hayabusa-sample-evtx -o main-encoded.csv -p super-verbose -q -w -D -n -u
+          ./hayabusa json-timeline -t 1 -d ./hayabusa-sample-evtx -o main-encoded.jsonl -L -p super-verbose -q -w -D -n -u
           rm -rf encoded_rules.yml rules_config_files.txt hayabusa
 
       - name: Check CSV Timeline diff

CHANGELOG-Japanese.md

@@ -10,14 +10,16 @@
 
 - `yaml-rust`クレートを`yaml-rust2`に更新した。(#461) (@yamatosecurity)
 - `windash`文字が、`rules/config/windash_characters.txt`から動的に読み込まれるようになった。(#1440) (@fukusuket)
+- `logon-summary`コマンドがRDPイベントからのログオン情報を表示するようになった。注意: ファイルに保存する場合、Hayabusaはより詳細な情報を出力する。(#1468) (@fukusuket)
 
 **バグ修正:**
 
-- `csv-timeline`と`json-timeline`コマンドで、結果をターミナルに出力すると、プログレスバーの後にいくつかの結果が表示されていた。 (#1459) (@fukusuket)
+- logon-summary`コマンドが破損したログでクラッシュすることがあった。(#1477) (@fukusuket)
+- `csv-timeline`と`json-timeline`コマンドで、結果をターミナルに出力すると、プログレスバーの後にいくつかの結果が表示されていた。(#1459) (@fukusuket)
 - 集計ルールのアラートの詳細フィールド値の結果がソートされていないため、`csv-timeline`と`json-timeline`は、毎回完全に正確な結果を出力しなかった。 (#1466) (@fukusuket)
-- `hayabusa-evtx`クレートをバージョン`0.8.12`に更新した。 (@yamatosecurity)
-  - JSONフィールドの出力順序が元のXMLに従って保持されるようになった。 (omerbenamram/evtx #241)
-  - 属性と同じ名前を持つ複数のサブノードは上書きされ、最後の1つだけが出力されていた。 (omerbenamram/evtx #245)
+- `hayabusa-evtx`クレートをバージョン`0.8.12`に更新した。(@yamatosecurity)
+  - JSONフィールドの出力順序が元のXMLに従って保持されるようになった。(omerbenamram/evtx #241)
+  - 属性と同じ名前を持つ複数のサブノードは上書きされ、最後の1つだけが出力されていた。(omerbenamram/evtx #245)
 
 ## 2.18.0 [2024/10/23] - SecTor Release
 

CHANGELOG.md

@@ -10,9 +10,11 @@
 
 - Updated the `yaml-rust` crate to `yaml-rust2`. (#461) (@yamatosecurity)
 - `windash` characters are now being dynamically read from `rules/config/windash_characters.txt`. (#1440) (@fukusuket)
+- `logon-summary` command now displays logon information from RDP events. Note: Hayabusa will output more detailed information when saving to a file. (#1468) (@fukusuket)
 
 **Bug Fixes:**
 
+- `logon-summary` command would sometimes crash with corrupted logs. (#1477) (@fukusuket)
 - Some results would be displayed after the progress bar when outputting results to the terminal with `csv-timeline` and `json-timeline`. (#1459) (@fukusuket)
 - The detailed field value results in aggregation rule alerts were not sorted so `csv-timeline` and `json-timeline` would not output completely exact results each time. (#1466) (@fukusuket)
 - Updated `hayabusa-evtx` crate to `0.8.12`. (@yamatosecurity)