2.11.0 [2025/08/05] - Blackhat Arsenal USA 2025 Release

Enhancements:

• Improved readability in the html-server report. (#204) (@nishikawaakira)
• Sigma rules are now displayed in the browser if you click on the link. (#257) (@nishikawaakira)
• Added colors to the Computer Summary page in the html-server command. (#201) (@nishikawaakira)
• html-server report now supports sorting of rules by Count, First Date and Last Date. (#199) (@nishikawaakira)
• Detection rule list is linked to the search now for html-server. (#264) (@nishikawaakira)

Bug Fixes:

• The URL link in the result of the vt-ip-lookup command was incorrect. (#259) (@fukusuket)

改善:

• html-serverレポートの可読性を改善した。 (#204) (@nishikawaakira)
• ルールリンクをクリックすると、Sigmaルールがブラウザに表示されるようになった。 (#257) (@nishikawaakira)
• html-serverコマンドのComputer Summaryページに色を追加した。 (#201) (@nishikawaakira)
• html-serverレポートが、カウント、最初の日付、最後の日付によるルールのソートをサポートするようになった。 (#199) (@nishikawaakira)
• 検出ルール一覧は現在、html-serverの検索とリンクされている。 (#264) (@nishikawaakira)

バグ修正:

• vt-ip-lookupコマンドの結果のURLリンクが間違っていました。 (#259) (@fukusuket)

2.10.0 [2025/05/22] - AUSCERT/SINCON Release

Enhancements:

• MITRE ATT&CK data updated to v17 for ttp-visualize-sigma and ttp-visualize commands. (#247) (@fukusuket)
• You don't need to reanalyze the JSONL timeline when running html-server command multiple times. (#232) (@nishikawaakira)
• Files are now better organized. (#242) (nishikawaakira)

Bug Fixes:

• Fixed broken output in the automagic summary table. (#250) (@fukusuket)

改善

• ttp-visualize-sigmaとttp-visualizeコマンドのため、MITRE ATT&CKデータをv17に更新した。 (#247) (@fukusuket)
• html-serverコマンドを複数回実行しても、JSONLタイムラインを再分析する必要はない。 (#232)(@nishikawaakira)
• ファイルが整理された。 (#242) (nishikawaakira)

バグ修正

• automagic サマリーテーブルの壊れた出力を修正した。 (#250) (@fukusuket)

2.9.2 [2025/04/12] - Sakura Release

Enhancements:

• The metrics-computer command computes the uptime more accurately. (#243) (@fukusuket)

Bug Fixes:

• The config files needed for the metrics-computer command were not included so it would fail. (#244) (@fukusuket)

改善

• metrics-computerコマンドに必要な設定ファイルが含まれていなかったため、失敗していた。 (#244) (@fukusuket)

バグ修正

• Takajo実行ファイルはtakajo.exeにリネームしないと実行されなかった。 (#240) (@fukusuket)

2.9.1 [2025/04/10] - Sakura Release

Bug Fixes:

• The Takajo executable would not be executed unless renamed to takajo.exe. (#240) (@fukusuket)

バグ修正

• Takajo実行ファイルはtakajo.exeにリネームしないと実行されなかった。 (#240) (@fukusuket)

2.9.0 [2025/04/02] - Vegemite Release

New Features:

• metrics-computers command that extracts out the same info as Hayabusa's computer-metrics command (number of events by computers, OS info, uptime, timezone) (#234) (@fukusuket)
• metrics-users command to create out a summary of users that have logged on to each computer. (#237) (@fukusuket)

Enhancements:

• Graceful exit and warning when Takajo is not run from the unzipped directory. (#230) (@fukusuket)
• Added RDS Gateway Logon events to the timeline-logon command. (#233) (@fukusuket)

新機能:

• Hayabusaのcomputer-metricsコマンドと同じ情報（コンピュータ別のイベント数、OS情報、稼働時間、タイムゾーン）を取り出すmetrics-computersコマンドを追加した。 (#234) (@fukusuket)
• metrics-usersコマンドは、各コンピュータにログオンしたユーザのサマリーを作成する。 (#237) (@fukusuket)

改善:

• 解凍されたディレクトリからTakajoが実行されなかった場合、グレースフルエグジットと警告を出す。 (#230) (@fukusuket)
• timeline-logonコマンドにRDS Gateway Logonイベントを追加した。 (#233) (@fukusuket)

v2.8.0 [2025/2/22] - "Ninja Day Release"

Enhancements:

• RDP logon and logoff information has been added to the timeline-logon timeline. #209 (@fukusuket)
• MITRE ATT&CK updated to version 16.1. (#219) (@fukusuket)

Bug Fixes:

• The split-csv-timeline command would create separate timelines for correlation events but now they are properly added to the correct computer timelines. (#211) (@fukusuket)

改善:

• RDPログオンとログオフの情報がtimeline-logonタイムラインに追加された。 #209 (@fukusuket)
• MITRE ATT&CKをバージョン16.1に更新した。 (#219) (@fukusuket)

バグ修正:

• split-csv-timelineコマンドは相関イベントがあると別々のタイムラインを作成していたが、現在は正しいコンピュータのタイムラインに追加している。 (#211) (@fukusuket)

v2.7.1 [2024/10/31] - "Halloween Release"

Bug Fixes:

• The Source IP Address and Source Computer fields for 4624 successful logon events in the logon timeline were backwards. (#208) (@fukusuket)

バグ修正:

• ログオンタイムラインの成功したログオンイベント(4624)において、ソースIPアドレスおよびソースコンピュータのフィールドが逆になっていた。(#208) (@fukusuket)

v2.7.0 [2024/10/23] - "SecTor Release"

New Features:

• extract-credentials command: extract out plaintext credentials from the command line information in Security 4688 and Sysmon 1 events. Ex: wmic, schtasks, net user, psexec usage. (#192) (@fukusuket)
• html-server command: create a dynamic server to view the HTML summary reports. (@nishikawaakira)

Enhancements:

• Detection summary for Total Detections and Unique Detections in the Rule Summary page of the HTML report has been consolidated into one table. (#182) (@nishikawaakira)
• Computer summary page was added to the HTML report. (#183) (@nishikawaakira)
• Added a list of detected alerts to the Rule Summary page. (#175) (@nishikawaakira)
• Detection Rule List lists more detailed information. (#176) (@nishikawaakira)

Bug Fixes:

• Invalid JSON line errors would display with the default Hayabusa profile. (#169) (@nishikawaakira)
• Graphs were being aggregated to the first date for each rule. (#191) (@nishikawaakira)

Other:

• License is changed from GPL-3.0 to AGPL-3.0. (@YamatoSecurity)

新機能:

• extract-credentialsコマンド: セキュリティ4688とSysmon 1イベントのコマンドライン情報から平文の認証情報を取り出す。例: wmic、schtasks、net user、psexecの使用。 (#192) (@fukusuket)
• html-serverコマンド: HTMLサマリレポートを動的に作成するウェブサーバを起動する。(@nishikawaakira)

改善:

• HTMLレポートのRule SummaryページのTotal DetectionsとUnique Detectionsの検出サマリが1つの表に統合された。(#182) (@nishikawaakira)
• HTMLレポートにComputer Summaryページが追加された。 (#183) (@nishikawaakira)
• Rule Summaryページに検出されたアラート一覧を追加した。(#175) (@nishikawaakira)
• Detection Rule Listにもっと詳細な情報を追加した。 (#176) (@nishikawaakira)

バグ修正:

• Hayabusaのデフォルトプロファイルを使用した場合、Invalid JSON lineというエラーが表示され、失敗していた。 (#169) (@nishikawaakira)
• グラフは各ルールの最初の日付まで集計されていた。 (#191) (@nishikawaakira)

その他:

• ライセンスをGPL-3.0からAGPL-3.0に変えた。(@YamatoSecurity)

v2.6.0 [2024/08/23] - "HITCON Release"

Note: Binaries were re-uploaded on 2024/09/10 to include the templates folder needed for the html-report command.

New Features:

• New html-report command to create a HTML summary report. (#165) (@nishikawaakira)

Enhancements:

• Added -f, --failedLogons to the stack-logons command and added stacked failed logon information to the automagic command output. (#152) (@fukusuket)
• Updated MITRE ATT&CK to v15.0. (#155) (@fukusuket)

Bug Fixes:

• Fixed a compile error on macOS due to treeform/puppy#118 . (#158) (@YamatoSecurity)
• Fixed a compile error when using nim 2.0.6. (#162) (@fukusuket)
• Alert level information was not being shown in the timeline-suspicious-processes command. (#167) (@fukusuket)

新機能:

HTMLレポートを作成するための新しいhtml-reportコマンド。(#165) (@nishikawaakira)

改善:

• stack-logonsコマンドに-f, --failedLogonsオプションを追加して、automagicコマンドで失敗したログイン集計を出力するようにした。 (#152) (@fukusuket)
• MITRE ATT&CKをv15.0に更新した。 (#155) (@fukusuket)

バグ修正:

• treeform/puppy#118 によるmacOSでのコンパイルエラーを修正した。 (#158) (@YamatoSecurity)
• Nim 2.0.6でのコンパイルエラーを修正した。 (#162) (@fukusuket)
• timeline-suspicious-processesコマンドでアラートレベルの情報が表示されていなかった。 (#167) (@fukusuket)

v2.5.0 [2024/03/30] - "BSides Tokyo Release"

New Features:

• automagic command: automatically executes as many commands as possible and output results to a new folder. (#132) (@fukusuket)
• stack-computers command: stack the Computer (default) or SrcComp fields as well as provide alert information. (#125) (@fukusuket)
• stack-ip-addresses command: stack the SrcIP (default) or TgtIP fields as well as provide alert information. (#129) (@fukusuket)
• stack-users command: stack the TgtUser (default) or SrcUser fields as well as provide alert information. (#130) (@fukusuket)
• You can now specify a directory of .jsonl files to scan. #133 (@hitenkoku)

Enhancements:

• Refactoring to remove duplicate code. (#99) (@fukusuket)
• Processing speed is more than twice as fast by changing the JSON parsing to jsony. (#122) (@fukusuket)
• Added decimal points in large numbers to make them easier to read. (#120) (@fukusuket)

新機能:

• automagicコマンド: 可能な限り多くのコマンドを自動的に実行し、結果を新しいフォルダに出力する。(#132) (@fukusuket)
• stack-computersコマンド: Computer(デフォルト)またはSrcCompフィールドのスタック分析をしながら、アラート情報も提供する。(#125) (@fukusuket)
• stack-ip-addressesコマンド: SrcIP(デフォルト)またはTgtIPフィールドのスタック分析をしながら、アラート情報も提供する。(#129) (@fukusuket)
• stack-usersコマンド: TgtUser(デフォルト)またはSrcUserフィールドのスタック分析をしながら、アラート情報も提供する。(#130) (@fukusuket)
• スキャン時に複数の.jsonlファイルが入っているディレクトリを指定できるようになった。 #133 (@hitenkoku)

改善:

• 重複するコードを削除するためのリファクタリング。 (#99) (@fukusuket)
• JSONのパースをjsonyに変更することで、処理速度が2倍以上速くなった。 (#122) (@fukusuket)
• 読みやすくするため、大きな数字に小数点を追加した。 (#120) (@fukusuket)