search

Yamato-Security / hayabusa

Hayabusa (隼) is a sigma-based threat hunting and fast forensics timeline generator for Windows event logs.
GNU Affero General Public License v3.0
2.26k stars 200 forks source link

Remove `HBFI-` prefix #791

Closed YamatoSecurity closed 1 year ago

YamatoSecurity commented 1 year ago

@hitenkoku HBFI-のprefixをお願いしたのに、申し訳ありません。 少し勘違いをして、申し訳ありません。 ユニークなprefixを付ける場合はAllFieldInfo等の子フィールドではなく、親フィールドだけで良いです。 いつか、全親フィールドにHB-等を付けるオプションを作りたいかもしれないが、まだ悩み中です。 とりあえず、AllFieldInfoHBFI-を付けないようにお願いできますか?

Before:

{
  "Timestamp": "2014-11-29 00:46:10.000 +09:00",
  "Computer": "IE10Win7",
  "Channel": "Sys",
  "EventID": 6005,
  "Level": "info",
  "RecordID": 4900,
  "RuleTitle": "Event Log Svc Started",
  "RuleAuthor": "Zach Mathis",
  "RuleCreationDate": "2022/02/06",
  "RuleModifiedDate": "2022/05/21",
  "Status": "stable",
  "Details": {
    "Binary": "DE070B0005001C000F002E000A0080000000000000000000"
  },
  "RuleFile": "Sys_6005_Info_EventLogSvcStarted.yml",
  "EvtxFile": "../hayabusa-sample-evtx/DeepBlueCLI/many-events-system.evtx",
  "AllFieldInfo": {
    "HBFI-Binary": "DE070B0005001C000F002E000A0080000000000000000000"
  }
}

After:

{
  "Timestamp": "2014-11-29 00:46:10.000 +09:00",
  "Computer": "IE10Win7",
  "Channel": "Sys",
  "EventID": 6005,
  "Level": "info",
  "RecordID": 4900,
  "RuleTitle": "Event Log Svc Started",
  "RuleAuthor": "Zach Mathis",
  "RuleCreationDate": "2022/02/06",
  "RuleModifiedDate": "2022/05/21",
  "Status": "stable",
  "Details": {
    "Binary": "DE070B0005001C000F002E000A0080000000000000000000"
  },
  "RuleFile": "Sys_6005_Info_EventLogSvcStarted.yml",
  "EvtxFile": "../hayabusa-sample-evtx/DeepBlueCLI/many-events-system.evtx",
  "AllFieldInfo": {
    "Binary": "DE070B0005001C000F002E000A0080000000000000000000"
  }
}
hitenkoku commented 1 year ago

@YamatoSecurity 対応完了しました。ご確認のほどよろしくお願いいたします。