DustInDark
DustInDark
fixed #14 fixed #11 ## What Changed - Added Following Arsenal Badges - 2020 - BH Asia Arsenal - BH USA Arsenal - BH Europe Arsenal - 2021 - BH...
The following Black Hat 2020-2022 badges have not been created. - 2020 - BH Asia Arsenal - BH USA Arsenal - BH Europe Arsenal - 2021 - BH Asia Arsenal...
Currently we are manually updating the badges. Since the format is the same, we can use github workflow so that we only need to confirm with a pull request. I'm...
**Describe the bug** Different detection results for each run to same rule and directory **Step to Reproduce** Steps to reproduce the behavior: 1. Download [hayabusa-1.4.2-windows-64-bit.zip](https://github.com/YamatoSecurity/hayabusa/releases/download/v1.4.2/hayabusa-1.4.2-windows-64-bit.zip) from release page and unzip....
https://github.com/wagga40/Zircolite で Auditd / Sysmon for Linux / JSONL or NDJSON logs が対応しているのでHayabusaも同様の形式のファイルを読み込んで、解析できるようにしたい
substatusのコードマッピングについて以下の例のように変換をして出力できるようにしてほしい マッピングはハードコーディングではなくymlなどで対応できるようにしたほうがよい 例: 0XC000005E -> There are currently no logon servers available to service the logon request. 0xC0000064 -> User logon with misspelled or bad user account 0xC000006A -> User...
以下2機能を作ってからリリースするため一旦現状の通知機能は取り下げ - [ ] Slackの表示を修正する - [ ] 前回実行時に検知した情報を送付しないようにする
確認ありがとうございます! データセットのJSONがそれぞれ違うので、対応するのは大変で広く使えなさそうなので、取り敢えずbotsとOTRF dataset対応なしにしましょうか? それより、Messageを検索するルールが20件ぐらいありますが、元々のevtxファイルにMessageがないので、Messageが記録されているxmlかjsonファイルにexportしてから、Message検索と出力対応にした方が良さそうです。(アラートを確認する際にMessage情報があると助かるので) 今、良さそうなexport方法を調査中です。残念ながら、Windowsイベントログを書き込むrust crateはあるけど、exportするcrateは無さそうです。 Powershellで`Get-WinEvent -LogName system |ConvertTo-Json`か`Get-WinEvent -LogName system |ConvertTo-Xml`で良い感じに変換できるけど、とても遅いのと、Windows 7のデフォルトPowershellバージョンでは使えないかもしれません。 Event ViewerのGUIからMessageが記録されているXMLをエクスポートできるけど、GUIなので自動化できません。 wevtutil.exeでMessageが無いXMLかテキストのMessageのどちらかをexportできるけど、Event ViewerのようにMessageが含まれているXMLを出力できなさそうなので、もう少し調べてみます。。 これを別のissueにしましょうか? _Originally posted by @YamatoSecurity in https://github.com/Yamato-Security/hayabusa/issues/386#issuecomment-1076156498_