diff --git a/Cargo.lock b/Cargo.lock index 010678a08..de86c205e 100644 --- a/Cargo.lock +++ b/Cargo.lock @@ -393,9 +393,9 @@ dependencies = [ [[package]] name = "core-foundation-sys" -version = "0.8.4" +version = "0.8.6" source = "registry+https://github.com/rust-lang/crates.io-index" -checksum = "e496a50fda8aacccc86d7529e2c1e0892dbd0f898a6b5645b5561b89c3210efa" +checksum = "06ea2b9bc92be3c2baa9334a323ebca2d6f074ff852cd1d7b11064035cd3868f" [[package]] name = "crc32fast" @@ -1135,9 +1135,9 @@ checksum = "0717cef1bc8b636c6e1c1bbdefc09e6322da8a9321966e8928ef80d20f7f770f" [[package]] name = "linux-raw-sys" -version = "0.4.11" +version = "0.4.12" source = "registry+https://github.com/rust-lang/crates.io-index" -checksum = "969488b55f8ac402214f3f5fd243ebb7206cf82de60d3172994707a4bcc2b829" +checksum = "c4cd1a83af159aa67994778be9070f0ae1bd732942279cabb14f86f986a21456" [[package]] name = "lock_api" @@ -1708,15 +1708,15 @@ checksum = "d626bb9dae77e28219937af045c257c28bfd3f69333c512553507f5f9798cb76" [[package]] name = "rustix" -version = "0.38.25" +version = "0.38.26" source = "registry+https://github.com/rust-lang/crates.io-index" -checksum = "dc99bc2d4f1fed22595588a013687477aedf3cdcfb26558c559edb67b4d9b22e" +checksum = "9470c4bf8246c8daf25f9598dca807fb6510347b1e1cfa55749113850c79d88a" dependencies = [ "bitflags 2.4.1", "errno", "libc", "linux-raw-sys", - "windows-sys 0.48.0", + "windows-sys 0.52.0", ] [[package]] @@ -2461,18 +2461,18 @@ dependencies = [ [[package]] name = "zerocopy" -version = "0.7.26" +version = "0.7.28" source = "registry+https://github.com/rust-lang/crates.io-index" -checksum = "e97e415490559a91254a2979b4829267a57d2fcd741a98eee8b722fb57289aa0" +checksum = "7d6f15f7ade05d2a4935e34a457b936c23dc70a05cc1d97133dc99e7a3fe0f0e" dependencies = [ "zerocopy-derive", ] [[package]] name = "zerocopy-derive" -version = "0.7.26" +version = "0.7.28" source = "registry+https://github.com/rust-lang/crates.io-index" -checksum = "dd7e48ccf166952882ca8bd778a43502c64f33bf94c12ebe2a7f08e5a0f6689f" +checksum = "dbbad221e3f78500350ecbd7dfa4e63ef945c05f4c61cb7f4d3f84cd0bba649b" dependencies = [ "proc-macro2", "quote", diff --git a/Cargo.toml b/Cargo.toml index 562f62fc7..f05201381 100644 --- a/Cargo.toml +++ b/Cargo.toml @@ -47,7 +47,7 @@ compact_str = "0.7.*" ureq = "*" mockall = "*" maxminddb = "0.*" -cidr-utils = "0.*" +cidr-utils = "0.5.*" aho-corasick = "*" memchr = "2.*" num = "0.4.0" diff --git a/README-Japanese.md b/README-Japanese.md index 17ccfeab6..0b461d148 100644 --- a/README-Japanese.md +++ b/README-Japanese.md @@ -257,6 +257,7 @@ JSON形式の結果を`jq`で解析する方法については、[こちら](/do * 空領域からのEvtxレコードカービング。 * 出力時のイベント重複排除。(レコード復元が有効になっている場合や、バックアップされたevtxファイル、VSSから抽出されたevtxファイルなどが含まれている場合に便利。) * スキャン設定ウィザードにより、有効にするルールの選択が容易に。(誤検出を減らすためなど。) +* PowerShell classicログのフィールドパースと抽出。 # ダウンロード @@ -876,6 +877,7 @@ Output: -H, --HTML-report HTML形式で詳細な結果を出力する (例: results.html) -M, --multiline イベントフィールド情報を複数の行に出力する -F, --no-field-data-mapping フィールドデータのマッピングを無効にする + --no-pwsh-field-extraction PowerShell Classicログフィールド抽出の無効化 -o, --output タイムラインを保存する (例: results.csv) -p, --profile 利用する出力プロファイル名を指定する -R, --remove-duplicate-data 重複したフィールドデータは「DUP」に置き換えられる (ファイルサイズが約10〜15%削減される) @@ -1135,6 +1137,7 @@ Output: -H, --HTML-report HTML形式で詳細な結果を出力する (例: results.html) -L, --JSONL-output タイムラインをJSONL形式で保存する (例: -L -o results.jsonl) -F, --no-field-data-mapping フィールドデータのマッピングを無効にする + --no-pwsh-field-extraction PowerShell Classicログフィールド抽出の無効化 -o, --output タイムラインを保存する (例: results.csv) -p, --profile 利用する出力プロファイル名を指定する -R, --remove-duplicate-data 重複したフィールドデータは「DUP」に置き換えられる (ファイルサイズが約10〜15%削減される) diff --git a/README.md b/README.md index 8872ad3a6..131e036a3 100644 --- a/README.md +++ b/README.md @@ -257,6 +257,7 @@ You can learn how to analyze JSON-formatted results with `jq` [here](doc/Analysi * Evtx record carving from evtx slack space. * Event de-duplication when outputting. (Useful when recovery records is enabled or when you include backed up evtx files, evtx files from VSS, etc...) * Scan setting wizard to help choose which rules to enable easier. (In order to reduce false positives, etc...) +* PowerShell classic log field parsing and extraction. # Downloads @@ -876,6 +877,7 @@ Output: -H, --HTML-report Save Results Summary details to an HTML report (ex: results.html) -M, --multiline Output event field information in multiple rows -F, --no-field-data-mapping Disable field data mapping + --no-pwsh-field-extraction Disable field extraction of PowerShell classic logs -o, --output Save the timeline in CSV format (ex: results.csv) -p, --profile Specify output profile -R, --remove-duplicate-data Duplicate field data will be replaced with "DUP" @@ -1135,6 +1137,7 @@ Output: -H, --HTML-report Save Results Summary details to an HTML report (ex: results.html) -L, --JSONL-output Save the timeline in JSONL format (ex: -L -o results.jsonl) -F, --no-field-data-mapping Disable field data mapping + --no-pwsh-field-extraction Disable field extraction of PowerShell classic logs -o, --output Save the timeline in JSON format (ex: results.json) -p, --profile Specify output profile -R, --remove-duplicate-data Duplicate field data will be replaced with "DUP"