-
-
例えば、下記のようなEventLogで、param1とparam2の値が一致しているような場合を検知したい。
cobalt strikeの検知でこういうルールが必要になりそう。
````
-
-
10016
0
3
0
0
0x8080000000000000
14802
Syst…
-
std::collections::HashMap、HashSetからhashbrown::HashMap、HashSetへと変更することで処理速度を向上させる
#280 で実施されていた置き換えが一部のみだったため変更して、速度が向上するか検証する。
-
目次を追加します。
-
最新developのAnalyzing event files: 1のあとにかなり空行がある。これは変だと思います。
イースター表示がある場所な気がする。
適宜、詰めましょう。
windows 11
```
██╗ ██╗ █████╗ ██╗ ██╗ █████╗ ██████╗ ██╗ ██╗███████╗ █████╗
██║ ██║██╔══██╗…
-
-
color detections count and rules count output
## Actual Behavior
```
Total detections: 10051
Total critical detections: 104
Total high detections: 1349
Total medium detections: 449
Total lo…
-
これもバージョン2で良いと思います。
--sigma-updateオプションでSIGMAレポを更新して、hayabusaルールに変換する。
-
(levelがlow以上の)アラートがある場合は、以下のフィールドから"Pivot Keyword"(攻撃者の足跡になる送信元のIPアドレス、ログオンID等々)をリストアップして、テキストファイルに保存する機能です。キーワードリストで、大量のinformationalログをgrepして、攻撃者の痕跡だけを抽出するための機能です。(informationalログが多すぎて解析が難しいという意見(クレ…
-