コンテンツにスキップ

変更履歴

情報

このページはプロジェクトの CHANGELOG.md を反映したものです。ダウンロードは リリースページ をご覧ください。

2.17.0 [xxxx/xx/xx]

改善:

  • sysmon-process-treeコマンドにコマンドラインのタイムラインを追加した。 (#305) (@fukusuket)

2.16.1 [2026/05/09] - Golden Week Release

バグ修正:

  • Takajo 2.16.0は、duckdbのDLLが欠落していたため、Windows OSでは実行できなかった。 (#303) (@fukusuket)

2.16.0 [2026/04/29] - Showa Day Release

改善:

  • html-reporthtml-serverコマンドのデフォルトのデータベースバックエンドとして DuckDB を追加し、フォールバックとして SQLite を使用するための--sqliteフラグを用意する。DuckDB は分析クエリを 4~24 倍高速化し、ファイルサイズを約 7 分の 1 に削減する。 (#298) (@nishikawaakira)
  • MITRE ATT&CK v19に対応した。 (@fukusuket)

2.15.1 [2026/01/31] - Daikanpa Release

改善:

  • metrics-userの出力を改善し、ユーザごとに「成功したログオン」と「失敗したログオン」を分けて表示するようにした。また、異常値(アウトライア)を特定できるよう、ログオンの合計回数も追加した。 (#294) (@fukusuket)

2.15.0 [2025/12/20] - Winter Release

新機能:

  • TimesketchにJSONLデータをインポートするためのconvert-flatten-jsonコマンドを追加した。 (#277) (@fukusuket)

バグ修正:

  • automagicコマンドのパースバグを修正した。 (#278) (@fukusuket)
  • HTMLレポートおよびサーバコマンドのJSON解析におけるRecordIDの欠落を処理できるようにした。 (#279) (@fukusuket)
  • html-serverの日付は、ローカル時間に変更されていた。 (#281) (@fukusuket)
  • automagicによるコンピューターメトリクスの出力にはOS情報が含まれていなかった。 (#286) (@fukusuket)
  • タイムラインCSVファイルのヘッダーに余分なコンマが含まれており、読み込み時に問題を引き起こしていた。(#282) (@fukusuket)
  • html-serverコマンドの壊れたリンクを修正した。 (#280) (@fukusuket)

2.14.0 [2025/11/15] - CODE BLUE Release

改善:

  • mitre-attack.jsonの出力をMITRE ATT&CK v18に対応するように更新した。 (#274) (@fukusuket)

2.13.1 [2025/10/20] - Tenshinhan Day Release

バグ修正:

  • 前回のバグ修正では、Hayabusaに-p super-verboseオプションを指定しなかった場合、正しい出力が得られなかった。 (@fukusuket)

2.13.0 [2025/10/18] - Tenshinhan Day Release

バグ修正:

  • 変換エラーを防ぐために入力検証を追加した。 (#271) (@fukusuket)

2.12.0 [2025/10/10] - Binary Day Release

改善:

  • html-serverコマンドは完全にオフラインで動作するようになった。 (#267) (@nishikawaakira)

バグ修正:

  • automagicは、LogoffTime列を正しく生成していなかった。 (#269) (@fukusuket)

2.11.0 [2025/08/01] - Blackhat Arsenal Release

改善:

  • html-serverレポートの可読性を改善した。 (#204) (@nishikawaakira)
  • ルールリンクをクリックすると、Sigmaルールがブラウザに表示されるようになった。 (#257) (@nishikawaakira)
  • html-serverコマンドのComputer Summaryページに色を追加した。 (#201) (@nishikawaakira)
  • html-serverレポートが、カウント、最初の日付、最後の日付によるルールのソートをサポートするようになった。 (#199) (@nishikawaakira)
  • 検出ルール一覧は現在、html-serverの検索とリンクされている。 (#264) (@nishikawaakira)

バグ修正:

  • vt-ip-lookupコマンドの結果のURLリンクが間違っていました。 (#259) (@fukusuket)

2.10.0 [2025/05/20] - AUSCERT/SINCON Release

改善:

  • ttp-visualize-sigmattp-visualizeコマンドのため、MITRE ATT&CKデータをv17に更新した。 (#247) (@fukusuket)
  • html-serverコマンドを複数回実行しても、JSONLタイムラインを再分析する必要はない。 (#232)(@nishikawaakira)
  • ファイルが整理された。 (#242) (nishikawaakira)

バグ修正:

  • automagic サマリーテーブルの壊れた出力を修正した。 (#250) (@fukusuket)

2.9.2 [2025/04/12] - Sakura Release

改善:

  • metrics-computerコマンドは稼働時間をより正確に計算する。 (#243) (@fukusuket)

バグ修正:

  • metrics-computerコマンドに必要な設定ファイルが含まれていなかったため、失敗していた。 (#244) (@fukusuket)

2.9.1 [2025/04/10] - Sakura Release

バグ修正:

  • Takajo実行ファイルはtakajo.exeにリネームしないと実行されなかった。 (#240) (@fukusuket)

2.9.0 [2025/04/02] - Vegemite Release

新機能:

  • Hayabusaのcomputer-metricsコマンドと同じ情報(コンピュータ別のイベント数、OS情報、稼働時間、タイムゾーン)を取り出すmetrics-computersコマンドを追加した。 (#234) (@fukusuket)
  • metrics-usersコマンドは、各コンピュータにログオンしたユーザのサマリーを作成する。 (#237) (@fukusuket)

改善:

  • 解凍されたディレクトリからTakajoが実行されなかった場合、グレースフルエグジットと警告を出す。 (#230) (@fukusuket)
  • timeline-logonコマンドにRDS Gateway Logonイベントを追加した。 (#233) (@fukusuket)

2.8.0 [2025/02/22] Ninja Day Release

改善:

  • RDPログオンとログオフの情報がtimeline-logonタイムラインに追加された。 #209 (@fukusuket)
  • MITRE ATT&CKをバージョン16.1に更新した。 (#219) (@fukusuket)

バグ修正:

  • split-csv-timelineコマンドは相関イベントがあると別々のタイムラインを作成していたが、現在は正しいコンピュータのタイムラインに追加している。 (#211) (@fukusuket)

2.7.1 [2024/10/31] Halloween Release

バグ修正:

  • ログオンタイムラインの成功したログオンイベント(4624)において、ソースIPアドレスおよびソースコンピュータのフィールドが逆になっていた。(#208) (@fukusuket)

2.7.0 [2024/10/24] SecTor Release

新機能:

  • extract-credentialsコマンド: セキュリティ4688とSysmon 1イベントのコマンドライン情報から平文の認証情報を取り出す。例: wmicschtasksnet userpsexecの使用。 (#192) (@fukusuket)

改善:

  • HTMLレポートのRule SummaryページのTotal DetectionsとUnique Detectionsの検出サマリが1つの表に統合された。(#182) (@nishikawaakira)
  • HTMLレポートにComputer Summaryページが追加された。 (#183) (@nishikawaakira)
  • Rule Summaryページに検出されたアラート一覧を追加した。(#175) (@nishikawaakira)
  • Detection Rule Listにもっと詳細な情報を追加した。 (#176) (@nishikawaakira)

バグ修正:

  • Hayabusaのデフォルトプロファイルを使用した場合、Invalid JSON lineというエラーが表示され、失敗していた。 (#169) (@nishikawaakira)
  • グラフは各ルールの最初の日付まで集計されていた。 (#191) (@nishikawaakira)

その他:

  • ライセンスをGPL-3.0からAGPL-3.0に変えた。(@yamatosecurity)

2.6.0 [2024/08/23] HITCON Release

新機能:

HTMLレポートを作成するための新しいhtml-reportコマンド。(#165) (@nishikawaakira)

改善:

  • stack-logonsコマンドに-f, --failedLogonsオプションを追加して、automagicコマンドで失敗したログイン集計を出力するようにした。 (#152) (@fukusuket)
  • MITRE ATT&CKをv15.0に更新した。 (#155) (@fukusuket)

バグ修正:

  • https://github.com/treeform/puppy/issues/118 によるmacOSでのコンパイルエラーを修正した。 (#158) (@YamatoSecurity)
  • Nim 2.0.6でのコンパイルエラーを修正した。 (#162) (@fukusuket)
  • timeline-suspicious-processesコマンドでアラートレベルの情報が表示されていなかった。 (#167) (@fukusuket)

2.5.0 [2024/03/30] - BSides Tokyo Release

新機能:

  • automagicコマンド: 可能な限り多くのコマンドを自動的に実行し、結果を新しいフォルダに出力する。(#132) (@fukusuket)
  • stack-computersコマンド: Computer(デフォルト)またはSrcCompフィールドのスタック分析をしながら、アラート情報も提供する。(#125) (@fukusuket)
  • stack-ip-addressesコマンド: SrcIP(デフォルト)またはTgtIPフィールドのスタック分析をしながら、アラート情報も提供する。(#129) (@fukusuket)
  • stack-usersコマンド: TgtUser(デフォルト)またはSrcUserフィールドのスタック分析をしながら、アラート情報も提供する。(#130) (@fukusuket)
  • スキャン時に複数の.jsonlファイルが入っているディレクトリを指定できるようになった。 #133 (@hitenkoku)

改善:

  • 重複するコードを削除するためのリファクタリング。 (#99) (@fukusuket)
  • JSONのパースをjsonyに変更することで、処理速度が2倍以上速くなった。 (#122) (@fukusuket)
  • 読みやすくするため、大きな数字に小数点を追加した。 (#120) (@fukusuket)

2.4.0 [2024/02/22] - Ninja Day Release

新機能:

  • stack-cmdlinesコマンド: 実行されたコマンドラインのスタック分析。(#94) (@fukusuket)
  • stack-dnsコマンド: DNSリクエストのスタック分析。(#95) (@fukusuket)
  • stack-processesコマンド: 実行されたプロセスのスタック分析。(#93) (@fukusuket)
  • stack-tasksコマンド: スケジュールされたタスクのパースとスタック分析。(#97) (@fukusuket)
  • timeline-tasksコマンド: 作成されたスケジュールタスクをパースし、CSVファイルに保存する。 (#110) (@fukusuket)
  • ttp-visualize-sigmaコマンド: MITRE ATT&CK Navigatorにアップロードし、SigmaルールのTTPをヒートマップで可視化するために、JSONファイルに作成する。(#92) (@fukusuket)

改善:

  • ttp-visualizeコマンド: ヒートマップにカラーグラデーションを追加した。(#90) (@fukusuket)

バグ修正:

  • split-csv-timelineコマンドが、Haybuasa 2.13.0のCSV結果で失敗するので、修正した。(#103) (@fukusuket)

2.3.1 [2024/01/27] - Year Of The Dragon Release

改善:

  • ttp-visualize コマンドで、MITRE ATT&CK Navigator上のテクニックをマウスオーバーしたときに、検知ルール名が表示されるようした。(#82) (@fukusuket)
  • ttp-summaryコマンドの結果にルールのタイトルを追加した。(#83) (@fukusuket)

バグ修正:

timeline-suspicious-processコマンドで、Security 4688またはSysmon 1のイベント数が0であり、他の形式のイベントがある場合、CSVファイルは保存されなかった。(#86) (@YamatoSecurity)

2.3.0 [2023/12/23] - SECCON Christmas Release

新機能:

  • ATT&CK Navigatorで可視化するために、TTPを抽出してJSONファイルを作成するttp-visualizeコマンドを追加した。 (#76) (@fukusuket)
  • コンピュータ毎に検知されたTTPsの要約を出力するttp-summaryコマンドを追加した。 (#78) (@fukusuket)

バグ修正:

  • timeline-partition-diagnosticコマンドの文字化けを修正した。 (#74) (@fukusuket)

2.2.0 [2023/12/03] - Nasi Lemak Release

新機能:

  • Windows10のMicrosoft-Windows-Partition%4Diagnostic.evtxを解析し、接続されたすべてのデバイスおよびそれらのボリュームシリアル番号に関する情報を出力するtimeline-partition-diagnosticコマンドを追加した。現在および過去に接続されたデバイスに関する情報を出力する。 (処理は https://github.com/theAtropos4n6/Partition-4DiagnosticParser を参考に作成された) (#70) (@fukusuket)

改善:

  • vt-lookupコマンドのプログレスバーの表示を改善した。 (#68) (@fukusuket)

バグ修正:

  • キーが存在しない場合の未処理の例外のバグを修正した。 (#65) (@fukusuket)
  • JSON入力の場合、extract-scriptblocksコマンドで改行処理が正しく行われていなかった。 (#71) (@fukusuket)

2.1.0 [2023/10/31] - Halloween Release

新機能:

  • PowerShell EID 4104のScriptBlockログを元に戻すextract-scriptblocksコマンドを追加した。 (#47) (@fukusuket)

改善:

  • TakajoがNim 2.0.0でコンパイルできるようになった。(#31) (@fukusuket)
  • 依存関係を減らすため、HTTPクライアントをPuppyに置き換えた。 (#33) (@fukusuket)
  • パフォーマンス向上のため、VirusTotalクエリをマルチスレッドにした。 (#33) (@fukusuket)
  • タイムラインを指定する際のファイル存在チェックを追加した。 (@fukusuket)
  • タイムラインがJSONL形式でない場合の警告を追加した。(#43) (@fukusuket)
  • sysmon-process-treeコマンドでルートプロセス情報も出力する。プロセスがタイムスタンプ順にソートされるようになった。(#54) (@fukusuket)

バグ修正*:

  • Hayabusa 2.8.0以上の結果でtimeline-suspicious-processesを実行した際のクラッシュを修正した。 (#35) (@fukusuket)
  • 無効なAPIキーが指定された場合に、VirusTotalの検索でJSONパースエラーが発生する問題を修正した。(@fukusuket)
  • sysmon-process-treeコマンドでプロセス情報が2回出力されることがあるバグを修正した。(#52) (@fukusuket)
  • timeline-suspicious-processesParentPGUIDフィールドを正しく出力していなかったので修正した。また、PIDの10進数変換を改善した。(#50) (@fukusuket)
  • 指定されたPGUIDが無効であるか、JSONL タイムラインに存在しない場合にエラーが発生する問題を修正した。 (#53) (@fukusuket)

2.0.0 [2022/08/03] - SANS DFIR Summit 2023 Release

新機能:

  • list-domains: vt-domain-lookupコマンドで使用する、重複のないドメインのリストを作成する。 (@YamatoSecurity)
  • list-hashes: vt-hash-lookupで使用するプロセスのハッシュ値のリストを作成する。 (@YamatoSecurity)
  • list-ip-addresses: vt-ip-lookupコマンドで使用する、重複のない送信元/送信先のIPリストを作成する。 (@YamatoSecurity)
  • split-csv-timeline: コンピューター名に基づき、大きなCSVタイムラインを小さなCSVタイムラインに分割する。 (@YamatoSecurity)
  • split-json-timeline: コンピューター名に基づき、大きなJSONLタイムラインを小さなJSONLタイムラインに分割する。 (@fukusuket)
  • stack-logons: ユーザー名、コンピューター名、送信元IPアドレス、送信元コンピューター名など、項目ごとの上位ログオンを出力する。 (@YamatoSecurity)
  • sysmon-process-tree: プロセスツリーを出力する。 (@hitenkoku)
  • timeline-logon: ログオンイベントのCSVタイムラインを作成する。 (@YamatoSecurity)
  • timeline-suspicious-processes: 不審なプロセスのCSVタイムラインを作成する。 (@YamatoSecurity)
  • vt-domain-lookup: VirusTotalでドメインのリストを検索し、悪意のあるドメインをレポートする。 (@YamatoSecurity)
  • vt-hash-lookup: VirusTotalでハッシュのリストを検索し、悪意のあるハッシュ値をレポートする。 (@YamatoSecurity)
  • vt-ip-lookup: VirusTotalでIPアドレスのリストを検索し、悪意のあるIPアドレスをレポートする。 (@YamatoSecurity)

v1.0.0 [2022/10/28] - Code Blue 2022 Bluebox Release

新機能:

  • list-undetected-evtx-files: 検知しなかったルールファイルの一覧を表示する機能を追加した。 (#4) (@hitenkoku)
  • list-unused-rules: 検知しなかったevtxファイルの一覧を表示する機能を追加した。 (#4) (@hitenkoku)
  • ロゴを追加。-q, --quietで表示しないようにできる。 (#12) (@YamatoSecurity @hitenkoku)
  • -o, --outputオプションの追加。結果を別ファイルにtxt形式で出力する機能を追加した。 (#11) (@hitenkoku)