v2.17.0 🦅

2.17.0 [2024/08/23] "HITCON Release"

Note: the hayabusa-2.17.0-win-x64-embedded-config.zip binary has its config files embedded into the binary to reduce the number of files. This is intended for when Hayabusa is used for live analysis or used with Velociraptor.

New Features:

• Support for the Sigma V2 |re: submodifers. (#1399) (@fukusuket)
  • Reference: https://github.com/SigmaHQ/sigma-specification/blob/main/appendix/sigma-modifiers-appendix.md
    • |re|i:: (insensitive) disable case-sensitive matching.
    • |re|m:: (multi-line) match across multiple lines. ^ /$ match the start/end of line.
    • |re|s:: (single-line) the dot character (.) matches all characters, including the newline character.
• Support for the Sigma V2 |exists: modifier. (#1400) (@hitenkoku)
• Support for the Sigma V2 |cased: modifier. (#1401) (@hitenkoku)

Enhancements:

• Support for the newer version 0.6.x cidr-utils crate. (#1366) (@hitenkoku)
• Added support for Sigma correlation rule's name lookup. (#1363) (@fukusuket)
• Enabled low memory mode by default. -s, --low-memory-mode is now -s, --sort-events - Sort events before outputting results. (warning: this uses much more memory!). (#1361) (@hitenkoku)
  • Note: you need to enable sorting in order to use -R, --remove-duplicate-data and -X, --remove-duplicate-detections.
• Sigma correlation reference rules now do not output alerts by default. You can enable them by adding generate: true to the rule. (#1367) (@fukusuket)
• Data fields are now displayed as indexed strings instead of as all Data fields or in an array for JSON. (#1371) (@fukusuket)
  • Before: "Data": ["17514", "Multiprocessor Free", "Service Pack 1"]
  • After: "Data[3]": "17514", "Data[4]": "Multiprocessor Free", "Data[5]": "Service Pack 1"
• The configuration files in the config folder are now also embedded in the binary to reduce the number of files in the release package. (#1370) (@hitenkoku)
  • Note: you will not be able to run the set-default-profile command without the config directory files as it relies on config/default_profile.yaml.
• Aggregation rule alerts now show Channel and EventID information even when there are multiple results. (#1342) (@fukusuket)
• In the JSON timeline, when there is no information in the Details field, we changed the default output of "-" to {} in order to make parsing easier. (#1386) (@hitenkoku)
• Added support for the – (en dash), — (em dash), and ― (horizontal bar) characters for the windash modifier to prevent signature bypass. (#1392) (@hitenkoku)
• Updated the MITRE ATT&CK tags to support Sigma version 2 format. (Ex: defense_evasion => defense-evasion) (@fukusuket)
• Updated the evtx crate to the latest for enhancements and bug fixes.

Bug Fixes:

• Sigma correlation rule count was not showing up in Events with hits. (#1373) (@fukusuket)
• Correlation rule count was not showing up in Events with hits. (#1374) (@fukusuket)
• Aggregation condition rule count was not showing up in Events with hits. (#1375) (@fukusuket)
• In rare cases, the list of rule authors would not be displayed to the terminal. (#1383) (@fukusuket)

新機能:

• Sigma V2の|re:のサブモディファイアに対応した。 submodifers. (#1399) (@fukusuket)
  • 参考: https://github.com/SigmaHQ/sigma-specification/blob/main/appendix/sigma-modifiers-appendix.md
    • |re|i:: (insensitive) 大文字小文字を区別しないマッチングを無効にする。
    • |re|m:: (multi-line) 複数行にまたがってマッチする。^ /$ は行頭/行末にマッチする。
    • |re|s:: (single-line) ドット文字 (.) は改行文字を含むすべての文字にマッチする。
• Sigma V2の|exists:モディファイアに対応した。 (#1400) (@hitenkoku)
• Sigma V2の|cased:モディファイアに対応した。 (#1401) (@hitenkoku)

改善:

• cidr-utilsクレートを新バージョン0.6.xに対応した。 (#1366) (@hitenkoku)
• Sigma相関ルールのnameルックアップに対応した。 (#1363) (@fukusuket)
• デフォルトで低メモリモードを有効にした。-s, --low-memory-modeは、-s, --sort-events - 出力/保存する前に結果をソートする。(注意: より多くのメモリを消費する。）(#1361) (@hitenkoku)
  • 注意: -R, --remove-duplicate-dataまたは-X, --remove-duplicate-detectionsを使用するには、ソートを有効にする必要がある。
• Sigma相関ルールが参照しているルールは、デフォルトで結果を出力しないようにした。ルールにgenerate: trueを指定すると、出力される。 (#1367) (@fukusuket)
• Dataフィールドは、すべてDataフィールドとして、またはJSONの配列としてではなく、インデックス化された文字列として表示されるようになった。(#1371) (@fukusuket)
  • 前: "Data": ["17514", "Multiprocessor Free", "Service Pack 1"]
  • 後: "Data[3]": "17514", "Data[4]": "Multiprocessor Free", "Data[5]": "Service Pack 1"
• リリースパッケージのファイル数を減らすために、configフォルダ内の設定ファイルもバイナリに埋め込まれるようにした。 (#1370) (@hitenkoku)
  • 注意: set-default-profileコマンドは、config/default_profile.yamlに依存しているので、configディレクトリファイルがないと実行できない。
• 集計ルールのアラートに、複数の結果がある場合でもChannelとEventIDの情報が表示されるようにした。 (#1342) (@fukusuket)
• JSONタイムラインでDetailsフィールドに情報がない場合、JSONがパースしやすくなるように、デフォルトで出力される"-"を{}に変更した。(#1386) (@hitenkoku)
• シグネチャーバイパスを防ぐため、- (エンダッシュ)、- (エムダッシュ)、― (水平バー) 文字を windash 修飾子でサポートするようにした。(#1392) (@hitenkoku)
• MITRE ATT&CKタグをSigmaバージョン2の形式に対応させた。(例: defense_evasion => defense-evasion) (@fukusuket)
• evtxクレートを最新のものに更新し、機能改善とバグ修正を行った。

バグ修正:

• Sigmaの相関ルールのカウントがEvents with hitsに表示されていなかった。(#1373) (@fukusuket)
• 相関ルールのカウントがEvents with hitsに表示されていなかった。(#1374) (@fukusuket)
• 集計ルールのカウントがEvents with hitsに表示されていなかった。(#1375) (@fukusuket)
• まれに、ルール作成者の一覧が表示されないことがあった。 (#1383) (@fukusuket)