-
Notifications
You must be signed in to change notification settings - Fork 206
Hayabusaの出力
DustInDark edited this page Apr 21, 2022
·
1 revision
Hayabusaの結果を標準出力に表示しているとき(デフォルト)は、以下の情報を表示します:
-
Timestamp: デフォルトではYYYY-MM-DD HH:mm:ss.sss +hh:mm形式になっています。イベントログの<Event><System><TimeCreated SystemTime>フィールドから来ています。デフォルトのタイムゾーンはローカルのタイムゾーンになりますが、--utcオプションで UTC に変更することができます。 -
Computer: イベントログの<Event><System><Computer>フィールドから来ています。 -
Channel: ログ名です。イベントログの<Event><System><EventID>フィールドから来ています。 -
Event ID: イベントログの<Event><System><EventID>フィールドから来ています。 -
Level: YML検知ルールのlevelフィールドから来ています。(例:informational,low,medium,high,critical) デフォルトでは、すべてのレベルのアラートとイベントが出力されますが、-mオプションで最低のレベルを指定することができます。例えば-m highオプションを付けると、highとcriticalアラートしか出力されません。 -
Title: YML検知ルールのtitleフィールドから来ています。 -
Details: YML検知ルールのdetailsフィールドから来ていますが、このフィールドはHayabusaルールにしかありません。このフィールドはアラートとイベントに関する追加情報を提供し、ログの<Event><System><EventData>部分から有用なデータを抽出することができます。
CSVファイルとして保存する場合、以下の列が追加されます:
-
MitreAttack: MITRE ATT&CKの戦術。 -
Rule Path: アラートまたはイベントを生成した検知ルールへのパス。 -
File Path: アラートまたはイベントを起こしたevtxファイルへのパス。
-Fもしくは--full-dataオプションを指定した場合、全てのフィールド情報が新しいカラムで出力されます。
簡潔に出力するためにMITRE ATT&CKの戦術を以下のように省略しています。
config/output_tag.txtの設定ファイルで自由に編集できます。
-
Recon: Reconnaissance (偵察) -
ResDev: Resource Development (リソース開発) -
InitAccess: Initial Access (初期アクセス) -
Exec: Execution (実行) -
Persis: Persistence (永続化) -
PrivEsc: Privilege Escalation (権限昇格) -
Evas: Defense Evasion (防御回避) -
CredAccess: Credential Access (認証情報アクセス) -
Disc: Discovery (探索) -
LatMov: Lateral Movement (横展開) -
Collect: Collection (収集) -
C2: Command and Control (遠隔操作) -
Exfil: Exfiltration (持ち出し) -
Impact: Impact (影響)
簡潔に出力するためにChannelの表示を以下のように省略しています。
config/channel_abbreviations.txtの設定ファイルで自由に編集できます。
-
Application: App -
DNS Server: DNS-Svr -
Microsoft-ServiceBus-Client: SvcBusCli -
Microsoft-Windows-CodeIntegrity/Operational: CodeInteg -
Microsoft-Windows-LDAP-Client/Debug: LDAP-Cli -
Microsoft-Windows-AppLocker/MSI and Script: AppLocker -
Microsoft-Windows-AppLocker/EXE and DLL: AppLocker -
Microsoft-Windows-AppLocker/Packaged app-Deployment: AppLocker -
Microsoft-Windows-AppLocker/Packaged app-Execution: AppLocker -
Microsoft-Windows-Bits-Client/Operational: BitsCli -
Microsoft-Windows-DHCP-Server/Operational: DHCP-Svr -
Microsoft-Windows-DriverFrameworks-UserMode/Operational: DvrFmwk -
Microsoft-Windows-NTLM/Operational: NTLM -
Microsoft-Windows-SmbClient/Security: SmbCliSec -
Microsoft-Windows-Sysmon/Operational: Sysmon -
Microsoft-Windows-TaskScheduler/Operational: TaskSch -
Microsoft-Windows-PrintService/Admin: PrintAdm -
Microsoft-Windows-PrintService/Operational: PrintOp -
Microsoft-Windows-PowerShell/Operational: PwSh -
Microsoft-Windows-Windows Defender/Operational: Defender -
Microsoft-Windows-Windows Firewall With Advanced Security/Firewall: Firewall -
Microsoft-Windows-WMI-Activity/Operational: WMI -
MSExchange Management: Exchange -
Security: Sec -
System: Sys -
Windows PowerShell: WinPwSh
プログレス・バーは、複数のevtxファイルに対してのみ機能します。 解析したevtxファイルの数と割合をリアルタイムで表示します。
-cまたは--colorを指定することで、Hayabusaの結果はlevel毎に文字色を変えることができます。
./config/level_color.txtの値を変更することで文字色を変えることができます。
形式はlevel名,(6桁のRGBのカラーhex)です。
注意: True Colorに対応しているターミナルが必要です。
例: Windows Terminal またはmacOSのiTerm2。
Translated Hayabusa Output