Zach Mathis (田中ザック)

organize menu

6

Closes #651 メニューの整理をしてみました。 help_headingでカスタムのHeadingできたのですが、`-h`を指定した時だけグループ分けで表示されます。デフォルトでは前のままです。 また、デフォルトの順番が良くないので、https://github.com/Yamato-Security/hayabusa/issues/651 のように出力したいのですが、やり方分かりますか？ @hitenkoku

検知数のパーセンテージも出力します。 例： Before: ``` Total detections: 32,792 Total critical detections: 53 Total high detections: 6,198 Total medium detections: 1,378 Total low detections: 6,722 Total informational detections: 18,441 Unique detections: 541...

Enhancement: Output to JSON

4

1. jqでの解析 2. Elastic Slackのインポートで各detailsフィールドが別々になるように 3. Filebeat等で簡単にElasticやSplunkにデータを送信できるように JSON形式に出力できるようにしたいです。 例: ``` Timestamp,Computer,Channel,EventID,Level,MitreTactics,MitreTags,OtherTags,RecordID,RuleTitle,Details,RuleFile,EvtxFile 2016-08-31 02:11:11.262 +09:00 , IE10Win7 , Sec , 4688 , low , Evas , T1036.003 : T1036.005 , ,...

Enhancement: Separate help menu by commands

2

メニューを整理したら、分かったのですが、ACTIONによって使えるオプションが変わってくるので、全部同じヘルプメニューにするのは初めて使う人には分かりにくいと思います。(オプションとアクションを混ぜているのも分かりにくいです） cargoのコマンドのようにコマンドごとのヘルプメニューを用意した方が理想ですが、修正が大変であれば、次のMajor Release (1.6)で良いと思います。 取り敢えず、コマンド(ACTION)のオプションをリストアップします。 ``` GLOBAL OPTIONS: --no-color Disable color output -q, --quiet Quiet mode: do not display the launch banner -t, --thread-number Thread number (default: optimal number for...

オプションが多くなってきたので、整理したいと思います。 以下のように出力しようと思っています: ``` ╔╗ ╔╦═══╦╗ ╔╦═══╦══╗╔╗ ╔╦═══╦═══╗ ║║ ║║╔═╗║╚╗╔╝║╔═╗║╔╗║║║ ║║╔═╗║╔═╗║ ║╚═╝║║ ║╠╗╚╝╔╣║ ║║╚╝╚╣║ ║║╚══╣║ ║║ ║╔═╗║╚═╝║╚╗╔╝║╚═╝║╔═╗║║ ║╠══╗║╚═╝║ ║║ ║║╔═╗║ ║║ ║╔═╗║╚═╝║╚═╝║╚═╝║╔═╗║ ╚╝ ╚╩╝ ╚╝ ╚╝ ╚╝ ╚╩═══╩═══╩═══╩╝ ╚╝ by Yamato...

Enhancement: Search keyword feature

5

Be able to search by keywords, either case-senstive, case-insensitive, or regex pattern either with a single keyword or a file with multiple keywords. It will search all fields in all...

複数のChannelが同じイベントIDを使うので、イベントタイトルを調べる時にChannelも確認する必要があります。 Channel情報が書いてあるCSVを用意しました。（添付しました。) 今後これを使いたいです。 また、もしpretty tables等でよりきれいに表示できそうでしたら、それもお願いしたいです [EID Mappings.csv](https://github.com/Yamato-Security/hayabusa/files/8348646/EID.Mappings.csv) 。

Implement near aggregator

9

`|near` aggregatorを使っているルールはまだ少ないのですが、より正確なルールが書けそうなので、実装できたら実装したいです。

Implement 4625 like Easy to read in SecurityLogonTimeline

Event ID Statistics機能はセキュリティログしか対応していなくて、すべてのログのIDとタイトルを今のやり方でリストアップするのは現実的ではないので、セキュリティ以外のログはGet-WinEvent ....... | Format-Table Id,MessageでイベントIDとタイトルを抽出して、集計したいと思っています。引数名は-GenericEventID_Statistics その時に-EventID_Statisticsを-SecurityEventID_Statisticsに変えます。