Merge pull request #1037 from Yamato-Security/finalize-2.5.0-try-3

finalize 2.5.0

CHANGELOG-Japanese.md

@@ -1,10 +1,6 @@
 # 変更点
 
-## 2.5.0 [2023/05/12] "Security Mini Camp in Tokyo Release"
-
-**新機能:**
-
-- XXX
+## 2.5.0 [2023/05/07] "Golden Week Release"
 
 **改善:**
 

CHANGELOG.md

@@ -1,24 +1,20 @@
 # Changes
 
-## 2.5.0 [2023/05/12] "Security Mini Camp in Tokyo Release"
-
-**New Features:**
-
-- XXX
+## 2.5.0 [2023/05/07] "Golden Week Release"
 
 **Enhancements:**
 
 - Added `-M, --multiline` option to search command. (#1017) (@hitenkoku)
 - Deleted return characters in the output of the `search` command. (#1003) (@hitenkoku)
 - `regex` crate updated to 1.8 which allows unnecessary escapes in regular expressions reducing parsing errors. (#1018) (@YamatoSecurity)
-- Deleted return characters in output of `csv-timeline` command. (#1019) (@hitenkoku)
+- Deleted return characters in output of the `csv-timeline` command. (#1019) (@hitenkoku)
 - Don't show new version information with the `update-rules` command when building a newer dev build. (#1028) (@hitenkoku)
 - Sorted `search` timeline order. (#1033) (@hitenkoku)
 
 **Bug Fixes:**
 
 - Unconverted sigma rules that search for a string that end in a backslash would not be detected. Also `|contains` conditions would not match if the string was located in the beginning. (#1025) (@fukusuket)
-- In versions 2.3.3-2.4.0, informational level alerts in the Results Summary would show the top 5 twice instead of the top 10 events. (#1031) (@hitenkoku)
+- In versions 2.3.3-2.4.0, informational level alerts in the Results Summary would show the top 5 events twice instead of the top 10 events. (#1031) (@hitenkoku)
 
 ## 2.4.0 [2023/04/19] "SANS Secure Korea Release"
 

Cargo.toml

@@ -1,6 +1,6 @@
 [package]
 name = "hayabusa"
-version = "2.5.0-dev"
+version = "2.5.0"
 repository = "https://github.com/Yamato-Security/hayabusa"
 authors = ["Yamato Security @SecurityYamato"]
 edition = "2021"
@@ -51,7 +51,7 @@ maxminddb = "0.*"
 cidr-utils = "0.*"
 aho-corasick = "*"
 memchr = "2.*"
-indexmap = "1.9.3"
+indexmap = "1.9.*"
 
 [profile.dev]
 debug = 0

README-Japanese.md

@@ -23,7 +23,7 @@
 
 # Hayabusa について
 
-Hayabusaは、日本の[Yamato Security](https://yamatosecurity.connpass.com/)グループによって作られた**Windowsイベントログのファストフォレンジックタイムライン作成**および**脅威ハンティングツール**です。 Hayabusaは日本語で[「ハヤブサ」](https://ja.wikipedia.org/wiki/%E3%83%8F%E3%83%A4%E3%83%96%E3%82%B5)を意味し、ハヤブサが世界で最も速く、狩猟(hunting)に優れ、とても訓練しやすい動物であることから選ばれました。[Rust](https://www.rust-lang.org/) で開発され、マルチスレッドに対応し、可能な限り高速に動作するよう配慮されています。[Sigma](https://github.com/SigmaHQ/Sigma)ルールをHayabusaルール形式に変換する[ツール](https://github.com/Yamato-Security/hayabusa-rules/tree/main/tools/sigmac)も提供しています。Hayabusaの検知ルールもSigmaと同様にYML形式であり、カスタマイズ性や拡張性に優れます。稼働中のシステムで実行してライブ調査することも、複数のシステムからログを収集してオフライン調査することも可能です。また、 [Velociraptor](https://docs.velociraptor.app/)と[Hayabusa artifact](https://docs.velociraptor.app/exchange/artifacts/pages/windows.eventlogs.hayabusa/)を用いることで企業向けの広範囲なスレットハンティングとインシデントレスポンスにも活用できます。出力は一つのCSVタイムラインにまとめられ、Excel、[Timeline Explorer](https://ericzimmerman.github.io/#!index.md)、[Elastic Stack](doc/ElasticStackImport/ElasticStackImport-Japanese.md)、[Timesketch](https://timesketch.org/)等で簡単に分析できるようになります。
+Hayabusaは、日本の[Yamato Security](https://yamatosecurity.connpass.com/)グループによって作られた**Windowsイベントログのファストフォレンジックタイムライン作成**および**脅威ハンティングツール**です。 Hayabusaは日本語で[「ハヤブサ」](https://ja.wikipedia.org/wiki/%E3%83%8F%E3%83%A4%E3%83%96%E3%82%B5)を意味し、ハヤブサが世界で最も速く、狩猟(hunting)に優れ、とても訓練しやすい動物であることから選ばれました。[Rust](https://www.rust-lang.org/) で開発され、マルチスレッドに対応し、可能な限り高速に動作するよう配慮されています。[Sigma](https://github.com/SigmaHQ/Sigma)ルールをHayabusaルール形式に変換する[ツール](https://github.com/Yamato-Security/hayabusa-rules/tree/main/tools/sigmac)も提供しています。Hayabusaの検知ルールもSigmaと同様にYML形式であり、カスタマイズ性や拡張性に優れます。稼働中のシステムで実行してライブ調査することも、複数のシステムからログを収集してオフライン調査することも可能です。また、 [Velociraptor](https://docs.velociraptor.app/)と[Hayabusa artifact](https://docs.velociraptor.app/exchange/artifacts/pages/windows.eventlogs.hayabusa/)を用いることで企業向けの広範囲なスレットハンティングとインシデントレスポンスにも活用できます。出力は一つのCSVタイムラインにまとめられ、[LibreOffice](https://www.libreoffice.org/)、[Timeline Explorer](https://ericzimmerman.github.io/#!index.md)、[Elastic Stack](doc/ElasticStackImport/ElasticStackImport-Japanese.md)、[Timesketch](https://timesketch.org/)等で簡単に分析できるようになります。
 
 # 関連プロジェクト
 
@@ -42,13 +42,14 @@ Hayabusaは、日本の[Yamato Security](https://yamatosecurity.connpass.com/)
     - [スレット(脅威)ハンティングと企業向けの広範囲なDFIR](#スレット脅威ハンティングと企業向けの広範囲なdfir)
     - [フォレンジックタイムラインの高速生成](#フォレンジックタイムラインの高速生成)
 - [スクリーンショット](#スクリーンショット)
-  - [起動画面](#起動画面)
-  - [ターミナル出力画面](#ターミナル出力画面)
-  - [検知頻度タイムライン出力画面 (`-T`オプション)](#検知頻度タイムライン出力画面--tオプション)
-  - [結果サマリ画面 (Results Summary)](#結果サマリ画面-results-summary)
+  - [起動](#起動)
+  - [DFIRタイムラインのターミナル出力](#dfirタイムラインのターミナル出力)
+  - [キーワード検索結果](#キーワード検索結果)
+  - [検知頻度タイムライン出力 (`-T`オプション)](#検知頻度タイムライン出力--tオプション)
+  - [結果サマリ (Results Summary)](#結果サマリ-results-summary)
   - [HTMLの結果サマリ (`-H`オプション)](#htmlの結果サマリ--hオプション)
-  - [Excelでの解析](#excelでの解析)
-  - [Timeline Explorerでの解析](#timeline-explorerでの解析)
+  - [LibreOfficeでのDFIRタイムライン解析 (`-M` マルチライン出力)](#libreofficeでのdfirタイムライン解析--m-マルチライン出力)
+  - [Timeline ExplorerでのDFIRタイムライン解析](#timeline-explorerでのdfirタイムライン解析)
   - [Criticalアラートのフィルタリングとコンピュータごとのグルーピング](#criticalアラートのフィルタリングとコンピュータごとのグルーピング)
   - [Elastic Stackダッシュボードでの解析](#elastic-stackダッシュボードでの解析)
   - [Timesketchでの解析](#timesketchでの解析)
@@ -153,21 +154,25 @@ Hayabusaは従来のWindowsイベントログ分析解析と比較して、分
 
 # スクリーンショット
 
-## 起動画面
+## 起動
 
-![Hayabusa 起動画面](screenshots/Hayabusa-Startup.png)
+![Hayabusa 起動画面](screenshots/Startup.png)
 
-## ターミナル出力画面
+## DFIRタイムラインのターミナル出力
 
-![Hayabusa ターミナル出力画面](screenshots/Hayabusa-Results.png)
+![Hayabusa ターミナル出力画面](screenshots/Results.png)
 
-## 検知頻度タイムライン出力画面 (`-T`オプション)
+## キーワード検索結果
 
-![Hayabusa 検知頻度タイムライン出力画面](screenshots/HayabusaEventFrequencyTimeline.png)
+![Hayabusa search results](screenshots/SearchResults.png)
 
-## 結果サマリ画面 (Results Summary)
+## 検知頻度タイムライン出力 (`-T`オプション)
 
-![Hayabusa 結果サマリ画面](screenshots/HayabusaResultsSummary.png)
+![Hayabusa 検知頻度タイムライン出力画面](screenshots/DetectionFrequencyTimeline.png)
+
+## 結果サマリ (Results Summary)
+
+![Hayabusa 結果サマリ画面](screenshots/ResultsSummary.png)
 
 ## HTMLの結果サマリ (`-H`オプション)
 
@@ -177,11 +182,11 @@ Hayabusaは従来のWindowsイベントログ分析解析と比較して、分
 
 ![Hayabusa results summary](screenshots/HTML-ResultsSummary-3.png)
 
-## Excelでの解析
+## LibreOfficeでのDFIRタイムライン解析 (`-M` マルチライン出力)
 
-![Hayabusa Excelでの解析](screenshots/ExcelScreenshot.png)
+![Hayabusa analysis in LibreOffice](screenshots/DFIR-TimelineLibreOfficeMultiline.jpeg)
 
-## Timeline Explorerでの解析
+## Timeline ExplorerでのDFIRタイムライン解析
 
 ![Hayabusa Timeline Explorerでの解析](screenshots/TimelineExplorer-ColoredTimeline.png)
 
@@ -268,7 +273,7 @@ hayabusa.exe update-rules
 
 Rustがインストールされている場合、以下のコマンドでソースコードからコンパイルすることができます:
 
-注意: hayabusaをコンパイルするためにはRust(rustc)が`1.66.0`以上であることが必要です。
+注意: hayabusaをコンパイルするためにはRust(rustc)が最新版であることが必要です。
 
 ```bash
 cargo build --release
@@ -608,6 +613,7 @@ Filtering:
   -r, --regex <REGEX>        正規表現での検索
 
 Output:
+  -M, --multiline      イベントフィールド情報を複数の行に出力する
   -o, --output <FILE>  ログオンサマリをCSV形式で保存する (例: search.csv)
 
 General Options:
@@ -728,7 +734,7 @@ hayabusa.exe csv-timeline -f eventlog.evtx
 hayabusa.exe csv-timeline -d .\hayabusa-sample-evtx -p verbose
 ```
 
-* 全てのフィールド情報も含めて１つのCSVファイルにエクスポートして、Excel、Timeline Explorer、Elastic Stack等でさらに分析することができる(注意: `super-verbose`プロファイルを使すると、出力するファイルのサイズがとても大きくなる！):
+* 全てのフィールド情報も含めて１つのCSVファイルにエクスポートして、LibreOffice、Timeline Explorer、Elastic Stack等でさらに分析することができる(注意: `super-verbose`プロファイルを使すると、出力するファイルのサイズがとても大きくなる！):
 
 ```
 hayabusa.exe csv-timeline -d .\hayabusa-sample-evtx -o results.csv -p super-verbose
@@ -890,7 +896,7 @@ IpAddress,Event.EventData.IpAddress
 `json-timeline`コマンドは、JSONまたはJSONL形式でイベントのフォレンジックタイムラインを作成します。
 JSONLへの出力は、JSONよりも高速でファイルサイズも小さいので、結果をElastic Stack等の他のツールにインポートするだけなら、JSONLが理想です。
 テキストエディタで手動で解析する場合は、JSONの方が良いでしょう。
-CSV出力は小さいタイムライン(通常2GB以下)をExcelやTimeline Explorerのようなツールにインポートするのに適しています。
+CSV出力は小さいタイムライン(通常2GB以下)をLibreOfficeやTimeline Explorerのようなツールにインポートするのに適しています。
 JSONは、`jq`等のツールでデータ(大きな結果ファイルを含む)をより詳細に分析する場合に最適です。`Details`フィールドが分離されているので、分析が容易になるからです。
 (CSV出力では、すべてのイベントログのフィールドが1つの大きな`Details`カラムに入っており、データのソートなどが難しくなっています。)