minor fixes

Yamato-Security · Dec 28, 2024 · 3d03049 · 3d03049
1 parent ef0ff8b
commit 3d03049
Show file tree

Hide file tree

Showing 2 changed files with 72 additions and 70 deletions.
diff --git a/README-Japanese.md b/README-Japanese.md
@@ -83,7 +83,7 @@ Hayabusaは[upstream Sigma](https://github.com/SigmaHQ/sigma) ルールの解析
 - [jqによるJSON形式の結果の解析](#jqによるjson形式の結果の解析)
 - [特徴＆機能](#特徴機能)
 - [ダウンロード](#ダウンロード)
-  - [Windowsライブレスポンスパッケージ](#Windowsライブレスポンスパッケージ)
+  - [Windowsライブレスポンスパッケージ](#windowsライブレスポンスパッケージ)
 - [Gitクローン](#gitクローン)
 - [アドバンス: ソースコードからのコンパイル（任意）](#アドバンス-ソースコードからのコンパイル任意)
   - [Rustパッケージの更新](#rustパッケージの更新)
@@ -95,7 +95,7 @@ Hayabusaは[upstream Sigma](https://github.com/SigmaHQ/sigma) ルールの解析
   - [注意: アンチウィルス/EDRの誤検知と遅い初回実行](#注意-アンチウィルスedrの誤検知と遅い初回実行)
   - [Windows](#windows)
     - [パスにスペースが含まれるファイルまたはディレクトリをスキャンしようとするとエラーが発生した場合](#パスにスペースが含まれるファイルまたはディレクトリをスキャンしようとするとエラーが発生した場合)
-    - [Characters not being displayed correctly](#characters-not-being-displayed-correctly)
+    - [文字が正常に表示されない場合](#文字が正常に表示されない場合)
   - [Linux](#linux)
   - [macOS](#macos)
 - [コマンド一覧](#コマンド一覧)
@@ -113,10 +113,10 @@ Hayabusaは[upstream Sigma](https://github.com/SigmaHQ/sigma) ルールの解析
       - [`eid-metrics`のスクリーンショット](#eid-metricsのスクリーンショット)
     - [`expand-list`コマンド](#expand-listコマンド)
       - [`expand-list`コマンドの使用例](#expand-listコマンドの使用例)
-      - [`expand-list`結果](#expand-listの結果)
+      - [`expand-list`結果](#expand-list結果)
     - [`extract-base64`コマンド](#extract-base64コマンド)
       - [`extract-base64`コマンドの使用例](#extract-base64コマンドの使用例)
-      - [`extract-base64`結果](#extract-base64の結果)
+      - [`extract-base64`の結果](#extract-base64の結果)
     - [`log-metrics`コマンド](#log-metricsコマンド)
       - [`log-metrics`コマンドの使用例](#log-metricsコマンドの使用例)
       - [`log-metrics`のスクリーンショット](#log-metricsのスクリーンショット)
@@ -300,7 +300,7 @@ JSON形式の結果を`jq`で解析する方法については、[こちら](/do
 * PowerShell classicログのフィールドパースと抽出。
 * 低メモリモード。(注意: 結果をソートしないことで可能。エージェントやビッグデータでの実行に適している。)
 * チャンネルとルールのフィルタリングによって最も効率的なパフォーマンスを達成する。
-* Detect, extract and decode Base64 strings found in logs.
+* ログに含まれるBase64文字列を検出、抽出、デコードする。
 
 # ダウンロード
 
@@ -328,15 +328,15 @@ zipファイルには、Hayabusaのバイナリ、XORエンコードされたル
 
 # Gitクローン
 
-以下の`git clone`コマンドでレポジトリをダウンロードし、ソースコードからコンパイルして使用することも可能です：
+以下の`git clone`コマンドでレポジトリをダウンロードし、ソースコードからコンパイルして使用することも可能です:
+
+> **注意：** `main`ブランチは開発中のバージョンです。まだ正式にリリースされていない新機能が使えるかもしれないが、バグがある可能性もあるので、テスト版だと思って下さい。
 
 ```bash
 git clone https://github.com/Yamato-Security/hayabusa.git --recursive
 ```
 
-> **注意：** mainブランチは開発中のバージョンです。まだ正式にリリースされていない新機能が使えるかもしれないが、バグがある可能性もあるので、テスト版だと思って下さい。
-
-※ `--recursive`をつけ忘れた場合、サブモジュールとして管理されている`rules`フォルダ内のファイルはダウンロードされません。
+> ※ `--recursive`をつけ忘れた場合、サブモジュールとして管理されている`rules`フォルダ内のファイルはダウンロードされません。
 
 `git pull --recurse-submodules`コマンド、もしくは以下のコマンドで`rules`フォルダを同期し、Hayabusaの最新のルールを更新することができます:
 
@@ -369,7 +369,7 @@ cargo build --release
 rustup update stable
 ```
 
-コンパイルされたバイナリは`target/release`フォルダ配下で作成されます。
+コンパイルされたバイナリは`./target/release`フォルダ配下で作成されます。
 
 ## Rustパッケージの更新
 
@@ -530,8 +530,8 @@ macOSの環境設定から「セキュリティとプライバシー」を開き
 ## 分析コマンド:
 * `computer-metrics`: コンピュータ名に基づくイベントの合計を出力する。
 * `eid-metrics`: イベントIDに基づくイベントの合計と割合の集計を出力する。
-* `expand-list`: Extract `expand` placeholders from the rules folder.
-* `extract-base64`: Extract and decode base64 strings from events.
+* `expand-list`: `expand`のプレースホルダを`rules`フォルダから取り出す。
+* `extract-base64`: イベントからbase64文字列を抽出し、デコードする。
 * `logon-summary`: ログオンイベントのサマリを出力する。
 * `log-metrics`: ログファイルの統計情報を出力する。
 * `pivot-keywords-list`: ピボットする不審なキーワードのリストを作成する。
@@ -547,7 +547,7 @@ macOSの環境設定から「セキュリティとプライバシー」を開き
 
 ## 汎用コマンド:
 * `help`: このメッセージまたは指定されたコマンドのヘルプを表示する。
-* `list-contributors`: コントリビュータ一覧の表示
+* `list-contributors`: コントリビュータ一覧の表示。
 
 # コマンド使用方法
 
@@ -689,7 +689,7 @@ detection:
     condition: selection and not filter_main
 ```
 
-テキストファイル `./config/expand/Admins_Workstations.txt` を作成し、次のような値を入力します：
+テキストファイル `./config/expand/Admins_Workstations.txt` を作成し、次のような値を入力します:
 ```
 AdminWorkstation1
 AdminWorkstation2
@@ -709,12 +709,12 @@ AdminWorkstation3
 Usage:  expand-list <INPUT> [OPTIONS]
 
 General Options:
-  -h, --help              Show the help menu
-  -r, --rules <DIR/FILE>  Specify rule directory (default: ./rules)
+  -h, --help              ヘルプメニューを表示する
+  -r, --rules <DIR/FILE>  ルールファイルまたはルールファイルを持つディレクトリ (デフォルト: ./rules)
 
 Display Settings:
-  -K, --no-color  Disable color output
-  -q, --quiet     Quiet mode: do not display the launch banner
+  -K, --no-color  カラーで出力しない
+  -q, --quiet     Quietモード: 起動バナーを表示しない
 ```
 
 #### `expand-list`コマンドの使用例
@@ -745,41 +745,41 @@ domain_controller_hostnames
 Usage:  extract-base64 <INPUT> [OPTIONS]
 
 Input:
-  -d, --directory <DIR>  Directory of multiple .evtx files
-  -f, --file <FILE>      File path to one .evtx file
-  -l, --live-analysis    Analyze the local C:\Windows\System32\winevt\Logs folder
+  -d, --directory <DIR>  .evtxファイルを持つディレクトリのパス
+  -f, --file <FILE>      1つの.evtxファイルに対して解析を行う
+  -l, --live-analysis    ローカル端末のC:\Windows\System32\winevt\Logsフォルダを解析する
 
 General Options:
-  -C, --clobber                        Overwrite files when saving
-  -h, --help                           Show the help menu
-  -J, --JSON-input                     Scan JSON formatted logs instead of .evtx (.json or .jsonl)
-  -Q, --quiet-errors                   Quiet errors mode: do not save error logs
-  -x, --recover-records                Carve evtx records from slack space (default: disabled)
-  -c, --rules-config <DIR>             Specify custom rule config directory (default: ./rules/config)
-  -t, --threads <NUMBER>               Number of threads (default: optimal number for performance)
-      --target-file-ext <FILE-EXT...>  Specify additional evtx file extensions (ex: evtx_data)
+  -C, --clobber                        結果ファイルを上書きする
+  -h, --help                           ヘルプメニューを表示する
+  -J, --JSON-input                     .evtxファイルの代わりにJSON形式のログファイル(.jsonまたは.jsonl)をスキャンする
+  -Q, --quiet-errors                   Quiet errorsモード: エラーログを保存しない
+  -x, --recover-records                空ページからevtxレコードをカービングする (デフォルト: 無効)
+  -c, --rules-config <DIR>             ルールフォルダのコンフィグディレクトリ (デフォルト: ./rules/config)
+  -t, --threads <NUMBER>               スレッド数 (デフォルト: パフォーマンスに最適な数値)
+      --target-file-ext <FILE-EXT...>  evtx以外の拡張子を解析対象に追加する。 (例１: evtx_data 例２: evtx1,evtx2)
 
 Filtering:
-      --exclude-computer <COMPUTER...>  Do not scan specified computer names (ex: ComputerA) (ex: ComputerA,ComputerB)
-      --include-computer <COMPUTER...>  Scan only specified computer names (ex: ComputerA) (ex: ComputerA,ComputerB)
-      --time-offset <OFFSET>            Scan recent events based on an offset (ex: 1y, 3M, 30d, 24h, 30m)
+      --exclude-computer <COMPUTER...>  特定のコンピュータ名をスキャンしない (例: ComputerA) (例: ComputerA,ComputerB)
+      --include-computer <COMPUTER...>  特定のコンピュータ名のみをスキャンする (例: ComputerA) (例: ComputerA,ComputerB)
+      --time-offset <OFFSET>            オフセットに基づく最近のイベントのスキャン (例: 1y, 3M, 30d, 24h, 30m)
 
 Output:
-  -o, --output <FILE>  Extract Base64 strings
+  -o, --output <FILE>  Base64文字列を抽出する
 
 Display Settings:
-  -K, --no-color  Disable color output
-  -q, --quiet     Quiet mode: do not display the launch banner
-  -v, --verbose   Output verbose information
+  -K, --no-color  カラーで出力しない
+  -q, --quiet     Quietモード: 起動バナーを表示しない
+  -v, --verbose   詳細な情報を出力する
 
 Time Format:
-      --European-time     Output timestamp in European time format (ex: 22-02-2022 22:00:00.123 +02:00)
-  -O, --ISO-8601          Output timestamp in original ISO-8601 format (ex: 2022-02-22T10:10:10.1234567Z) (Always UTC)
-      --RFC-2822          Output timestamp in RFC 2822 format (ex: Fri, 22 Feb 2022 22:00:00 -0600)
-      --RFC-3339          Output timestamp in RFC 3339 format (ex: 2022-02-22 22:00:00.123456-06:00)
-      --US-military-time  Output timestamp in US military time format (ex: 02-22-2022 22:00:00.123 -06:00)
-      --US-time           Output timestamp in US time format (ex: 02-22-2022 10:00:00.123 PM -06:00)
-  -U, --UTC               Output time in UTC format (default: local time)
+      --European-time     ヨーロッパ形式で日付と時刻を出力する (例: 22-02-2022 22:00:00.123 +02:00)
+  -O, --ISO-8601          ISO-8601形式で日付と時刻を出力する (例: 2022-02-22T10:10:10.1234567Z) (UTC時刻)
+      --RFC-2822          RFC 2822形式で日付と時刻を出力する (例: Fri, 22 Feb 2022 22:00:00 -0600)
+      --RFC-3339          RFC 3339形式で日付と時刻を出力する (例: 2022-02-22 22:00:00.123456-06:00)
+      --US-military-time  24時間制(ミリタリータイム)のアメリカ形式で日付と時刻を出力する (例: 02-22-2022 22:00:00.123 -06:00)
+      --US-time           アメリカ形式で日付と時刻を出力する (例: 02-22-2022 10:00:00.123 PM -06:00)
+  -U, --UTC               UTC形式で日付と時刻を出力する (デフォルト: 現地時間)
 ```
 
 #### `extract-base64`コマンドの使用例
@@ -790,25 +790,25 @@ Time Format:
 #### `extract-base64`の結果
 
 ターミナルに出力する際、スペースに制限があるため、次のフィールドのみが表示されます：
-* Timestamp
-* Computer
-* Base64 String
-* Decoded String (if not binary)
+  * Timestamp
+  * Computer
+  * Base64 String
+  * Decoded String (if not binary)
 
 CSVファイルに保存する際、次のフィールドが保存されます：
-* Timestamp
-* Computer
-* Base64 String
-* Decoded String (if not binary)
-* Original Field
-* Length
-* Binary (`Y/N`)
-* Double Encoding (`Y`の場合、それは通常悪意があります。)
-* Encoding Type
-* File Type
-* Event
-* Record ID
-* File Name
+  * Timestamp
+  * Computer
+  * Base64 String
+  * Decoded String (if not binary)
+  * Original Field
+  * Length
+  * Binary (`Y/N`)
+  * Double Encoding (`Y`の場合、それは通常悪意があります。)
+  * Encoding Type
+  * File Type
+  * Event
+  * Record ID
+  * File Name
 
 ### `log-metrics`コマンド
 
@@ -881,7 +881,7 @@ Time Format:
 `logon-summary`コマンドを使うことでログオン情報の要約(ユーザ名、ログイン成功数、ログイン失敗数)の画面出力ができます。
 単体のevtxファイルを解析したい場合は`-f`オプションを利用してください。複数のevtxファイルを対象としたい場合は`-d`オプションを合わせて使うことでevtxファイルごとのログイン情報の要約を出力できます。
 
-ログオン成功は、以下のイベントから取得される：
+ログオン成功は、以下のイベントから取得される:
 * `Security 4624` (ログオン成功)
 * `RDS-LSM 21` (リモートデスクトップサービス ローカルセッションマネージャーのログオン)
 * `RDS-GTW 302` (リモートデスクトップサービス ゲートウェイのログオン)
@@ -914,7 +914,6 @@ Filtering:
       --timeline-start <DATE>           解析対象とするイベントログの開始時刻 (例: "2020-02-22 00:00:00 +09:00")
 
 Output:
-  -b, --disable-abbreviations     省略機能を無効にする
   -o, --output <FILENAME-PREFIX>  ログオンサマリをCSV形式で２つのファイルに保存する (例: -o logon-summary.csv)
 
 Display Settings:
@@ -1053,10 +1052,11 @@ Filtering:
       --time-offset <OFFSET>         オフセットに基づく最近のイベントのスキャン (例: 1y, 3M, 30d, 24h, 30m)
 
 Output:
-  -J, --JSON-output    JSON形式で検索結果を保存する (例: -J -o results.json)
-  -L, --JSONL-output   JSONL形式で検索結果を保存 (例: -L -o results.jsonl)
-  -M, --multiline      イベントフィールド情報を複数の行に出力する
-  -o, --output <FILE>  ログオンサマリをCSV形式で保存する (例: search.csv)
+  -b, --disable-abbreviations        省略機能を無効にする
+  -J, --JSON-output                  JSON形式で検索結果を保存する (例: -J -o results.json)
+  -L, --JSONL-output                 JSONL形式で検索結果を保存 (例: -L -o results.jsonl)
+  -M, --multiline                    イベントフィールド情報を複数の行に出力する
+  -o, --output <FILE>                ログオンサマリをCSV形式で保存する (例: search.csv)
 
 Time Format:
       --European-time     ヨーロッパ形式で日付と時刻を出力する (例: 22-02-2022 22:00:00.123 +02:00)
@@ -1741,11 +1741,11 @@ RuleID: "%RuleID%"
 
 また、[イベントキーエイリアス](https://github.com/Yamato-Security/hayabusa-rules/blob/main/README-Japanese.md#%E3%82%A4%E3%83%99%E3%83%B3%E3%83%88%E3%82%AD%E3%83%BC%E3%82%A8%E3%82%A4%E3%83%AA%E3%82%A2%E3%82%B9)を定義し、出力することもできます。
 
-## Abbreviations
+## 省略
 
-In order to save space, we abbreviate levels, MITRE ATT&CK tactics, channels, providers, field names, etc...
+結果をミニマルにするため、レベル、MITRE ATT&CK戦術、チャンネル、プロバイダ、フィールド名などを省略しています。
 
-You can turn off some of these abbreviations to see the original channel name, provider name, etc... with the `-b, --disable-abbreviations` option.
+`b, --disable-abbreviations`オプションで、これらの省略のいくつかを無効にして、元々のチャンネル名、プロバイダ名などを表示することができます。
 
 ### Levelの省略
 
@@ -2010,6 +2010,8 @@ Sigmaルールの問題点（誤検出、バグ等々）を発見された方は
 # ライセンス
 
 Hayabusaは[AGPLv3](https://gpl.mhatta.org/agpl.ja.html)で公開され、すべてのルールは[Detection Rule License (DRL) 1.1](https://github.com/SigmaHQ/sigma/blob/master/LICENSE.Detection.Rules.md)で公開されています。
+Hayabusaの社内利用、SaaSソリューションの利用、コンサルティングの利用などは自由です。
+ただし、SaaS型ソリューションでHayabusaを利用し、改良を加えた場合は、その改良をオープンソース化し、プロジェクトに還元してください。
 
 Hayabusaは、MaxMind社が作成したGeoLite2データを使用しており、[https://www.maxmind.com](https://www.maxmind.com)から入手可能です。
 

diff --git a/README.md b/README.md
@@ -530,7 +530,7 @@ You should now be able to run hayabusa.
 ## Analysis Commands:
 * `computer-metrics`: Print the number of events based on computer names.
 * `eid-metrics`: Print the number and percentage of events based on Event ID.
-* `expand-list`: Extract `expand` placeholders from the rules folder.
+* `expand-list`: Extract `expand` placeholders from the `rules` folder.
 * `extract-base64`: Extract and decode base64 strings from events.
 * `log-metrics`: Print log file metrics.
 * `logon-summary`: Print a summary of logon events.