CHANGELOG.md

Change Log

3.15.9 (Pre-Release)

• исправления функции массовой проверки локализаций нормализаций.

3.15.8 (Pre-Release)

• PoC фичи #144 - индивидуальная проверка локализации для правил нормализации в редакторе локализации.

3.15.7 (Pre-Release)

• из сравнения ожидаемого и фактического событий полностью исключены поля _rule, _objects;
• статус теста сохраняется в редакторе интеграционных тестов после массовой проверки правил в дереве контента;
• добавлено сохранение статуса теста при их сохранение в редакторе интеграционных тестов если не менялись ни необработанные события, ни код теста;
• ограничена возможность запускать тестирование локализаций в процессе выполнения подобных команд из других окон.

3.15.6 (Pre-Release)

• улучшена логика тестирования обогащений;
• добавлен раздел Getting Started с gif-ками по базовым кейсам работы с расширением и контентом (special thanks @Yulia17_00, @GenRockeR);
• добавлена возможность тестировать отдельные правила в дереве объектов;
• улучшена локализация.

3.15.5 (Pre-Release)

• расширены возможности по тестированию правил обогащения корреляционных правил (special thanks @g4n8g).

3.15.4 (Pre-Release)

• добавлено сброс статуса правил при проверке объектов в дереве;
• исправлена ошибка удаления интеграционных тестов (special thanks @g4n8g).

3.15.3 (Pre-Release)

• исправлена ошибка отображения описания правила в дереве, которая приводила к проблемам визуализации дерева объектов (special thanks @sanguis_meus, @dushnyaga);
• улучшена локализация (special thanks @feelstacy, @eugzolotukhin).

3.15.2 (Pre-Release)

• реализована фича #195 - добавлена возможность коррелировать EVTX-файлы на Linux;
• исправлена ошибка локализации событий на Linux;
• улучшена локализация для неподдерживаемых языков.

3.15.1 (Pre-Release)

• реализована фича #123 - проверка объектов с оптимизацией сборки артефактов, что значительно повысило скорость её выполнения;
• добавлен вывод версии расширения в консоль;
• добавлена возможность избежать ручного задания выходной директории, она формируется автоматически;
• отключена проверка локализации при массовом тестировании правил, так как падает siemkb_test.

3.14.4 (Release)

• временно отключена проверка локализации при массовой проверке объектов в дереве.

3.14.3 (Release)

• исправлена ошибка исчезновения интеграционных тестов при сохранении с некорректным кодом теста (special thanks @Bobyboba18, @mukharlyamoff).

3.14.2 (Release)

• исправлена ошибка проверки локализации правила корреляции.

3.14.1 (Release)

• исключены ненужные библиотеки.

3.14.0 (Release - April 16, 2024)

• реализована фича #139 - возможность преждевременной остановки действий Нормализовать и Нормализовать и обогатить в интеграционных тестах (special thanks @g4n8g), а также возможность прерывать компиляцию локализаций, нормализаций и WLD-файлов;
• улучшены шаблоны правил корреляций (special thanks @g4n8g);
• добавлены Industrial Control System (ICS) тактики в редактор метаинформации (special thanks @g4n8g);
• реализована фича #179 - возможность задать поставщика при упаковке контента в KB-файл;
• добавлена фича #181 - редактирование заполнения табличного списка типа Справочник значениями по умолчанию (special thanks @aw350m3);
• увеличен максимальный объём EVTX-файлов, которые можно использовать для корреляции;
• добавлена команда открытия настроек расширения и консольного вывода в дополнительный список команд (... в UI) дерева объектов;
• добавлена локализация описания полей таксономии и функций на английском языке при автодополнении и наведении в зависимости от выбранного языка VSCode;
• улучшена русская и английская локализации окон расширения (special thanks @feelstacy, @eugzolotukhin);
• исправлены ошибки, повышена стабильность и дружелюбность (special thanks @r0mka_Ch, @FedosovaOA, @g4n8g, @iddqdidkfa, @paran0id_34, @nevermihcdfjndsxj and many others).

3.13.24 (Pre-Release)

• добавлена проверка открытия базы знаний при запуске команд Дерева объектов;
• исправлена ошибка проверки локализаций по умолчанию;
• улучшена локализация (special thanks @feelstacy, @eugzolotukhin).

3.13.23 (Pre-Release)

• расширен максимальный объём EVTX-файлов, которые можно использовать для корреляции;
• добавлены настройки логирования для расширения;
• локализованы настройки расширения на английский язык.

3.13.22 (Pre-Release)

• исправлена ошибка конвертации xml-события, скопированного из Windows Event Viewer (special thanks @nevermihcdfjndsxj).

3.13.21 (Pre-Release)

• исправлены ошибки форматирования и сжатия JSON-ов в необработанных событиях и коде тестов (special thanks @paran0id_34);
• улучшено сравнение ожидаемого и фактического события в интеграционных тестах (special thanks @aw350m3);
• реализована фича #139 - возможность преждевременной остановки действия Нормализовать и Нормализовать и обогатить в интеграционных тестах (special thanks @g4n8g).

3.13.20 (Pre-Release)

• улучшена русская и английская локализации (special thanks @feelstacy, @eugzolotukhin);
• добавлен вывод информации о текущей ОС при инициализации расширения (special thanks @dushnyaga).

3.13.19 (Pre-Release)

• добавлено описание функций в список автодополнений;
• исправлена ошибка зацикливания поиска вспомогательных правил при запуске интеграционных тестов (special thanks @g4n8g).

3.13.18 (Pre-Release)

• добавлена команда открытия настроек расширения в дополнительный список команд (... в UI) дерева объектов;
• добавлена локализация описания полей таксономии и функций на английском языке.

3.13.17 (Pre-Release)

• исправлена ошибка формирования базы знаний в пустой директории (special thanks @r0mka_Ch).

3.13.16 (Pre-Release)

• добавлена команда открытия вывода расширения в дополнительный список команд (... в UI) дерева объектов;
• добавлена команда автоматического открытия вывода расширения в ошибках, в которых требуется ознакомится с данным выводом;
• обновлены шаблоны правил корреляций (special thanks @g4n8g);
• улучшена русская и английская локализации (special thanks @feelstacy, @eugzolotukhin).

3.13.15 (Pre-Release)

• починена кнопка открытия базы знаний в welcome-сообщении;
• исправлена ошибка потери ContentLabels после сохранения метаданных (special thanks @paran0id_34).

3.13.14 (Pre-Release)

• добавлены полезные примеры для функций join и remove (special thanks @zBlur);
• исключена возможность одновременного запуска сборки артефактов: графов и табличных списков, локализаций, нормализаций и wld-файлов;
• добавлена возможность прерывать компиляцию локализаций, нормализаций и wld-файлов с информированием;
• локализован на английский язык статус компиляции различных артефактов;
• исключена некорректная подсветка синтаксиса js-файлов при установленном расширении (special thanks @iddqdidkfa).

3.13.13 (Pre-Release)

• конструкция table_list default (подгружает заполнения по умолчанию для всех справочников) добавлена во все интеграционные тесты всех шаблонов корреляционных правил и автоматически добавляется при создании нового интеграционного теста;
• улучшена русская и английская локализации (special thanks @feelstacy, @eugzolotukhin).

3.13.12 (Pre-Release)

• улучшена русская локализация (special thanks @feelstacy, @eugzolotukhin);
• добавлены ICS тактики в редактор метаинформации (special thanks @g4n8g);
• добавлена подсветка вызовов функций в их всплывающем описании;
• улучшено информирование пользователя о необходимых настройках при первом запуске.

3.13.11 (Pre-Release)

• добавлена валидация корректности заполнения значений по умолчанию табличных списков (special thanks @aw350m3);
• исправлена ошибка при добавлении конверта на xml-событие при копировании из EventViewer;
• улучшена русская локализация (special thanks @feelstacy).

3.13.10 (Pre-Release)

• улучшен UI окна редактирования заполнения табличного списка типа Справочник значениями по умолчанию (special thanks @aw350m3);
• исключены лишние пункты контекстного меню для макросов и корня базы знаний;
• улучшена русская локализация.

3.13.9 (Pre-Release)

• исправлена ошибка удаления полей метаинформации (special thanks @g4n8g).

3.13.8 (Pre-Release)

• исправлена ошибка распаковки kb-файла с контентом без пакетов экспертизы (special thanks @FedosovaOA);
• улучшена локализация.

3.13.7 (Pre-Release)

• добавлена возможность осуществлять поиск в заполнении по умолчанию табличных списков типа Справочник (special thanks @g4n8g).

3.13.6 (Pre-Release)

• исключено отображение окна значений по умолчанию при просмотре изменений через git в VSCode, теперь вновь отображается текстовое сравнения файла табличного списка до и после редактирования (special thanks @g4n8g);
• при нажатии на табличный список сразу отображается редактор его структуры;
• для редактирования значений табличного списка по умолчанию (только для Справочника), теперь необходимо воспользоваться пунктом контекстного меню Значения по умолчанию (Default values).

3.13.5 (Pre-Release)

• исправлена ошибка валидации префикса контента и ObjectID пакета.

3.13.4 (Pre-Release)

• реализована фича #179 - возможность указания поставщика при упаковке контента в kb-файл;
• добавлена фича #181 - редактирование заполнения табличного списка типа Справочник значениями по умолчанию (special thanks @aw350m3);
• исправлена ошибка компиляции пакета при сокращенном пути (с тильдой) к домашней директории пользователя (special thanks @r0mka_Ch);
• локализовано на английский язык окна создания правил по шаблону;
• исправлены ошибки и повышена стабильность.

3.13.3 (Pre-Release)

• исправлена ошибка сохранения локализаций.

3.13.2 (Pre-Release)

• добавлена возможность при распаковке пакета считывать его локализованное имя из метаданных вместо названия (special thanks @r0mka_Ch).

3.13.1 (Pre-Release)

• добавлена фича #112 - создание макросов.

3.13.0 (Pre-Release)

• реализована фича #81 - частичная проверка заполнения проверяемых полей в модульных тестах (special thanks @Ideas4Life);
• добавлены значения полей по умолчанию при создании табличных списков: максимальный и типичный размер, время записи (special thanks @antonmantsurov);
• исправлена двойная вставка символа новой строки при редактировании интеграционных тестов (special thanks @antonmantsurov);
• добавлена фича #167 - возможность запускать массовую проверку правил нормализации;
• добавлена возможность редактирования описания макроса.

3.12.0 (Release)

• реализована фича #171 - описание функций и полей таксономии при наведении на них мышки;
• начато добавление поддержки английского языка (special thanks @DuckDarkwing);
• добавлено автоматическое сохранение при обновлении ожидаемого и сырого события в модульных тестах с повторным запуском теста (special thanks @zatraahali);
• реализован фича #156 - создание и редактирование структуры табличных списков (special thanks @iam_bdoxhn);
• добавлена поддержка вложенности подправил (subrules) произвольной глубины (special thanks @bstvld);
• добавлен бинарный модуль (исходный код тут) для преобразования evtx-файлов в нужный формат (special thanks @anfinogenov);
• добавлена возможность пересобрать граф нормализаций (Дерево контента → ... → Компилировать все нормализации);
• полностью переработано окно модульных тестов нормализаций и корреляций (special thanks @iam_bdoxhn);
• добавлена функция #145 дублирования правила корреляции (special thanks @g4n8g).

3.11.19 (Pre-Release)

• добавлена возможность использовать новые строки в описании правил и табличных списков;
• добавлена возможность добавлять описания для табличных списков.

3.11.18 (Pre-Release)

• добавлена функция #145 дублирования правила корреляции (special thanks @g4n8g).

3.11.17 (Pre-Release)

• добавлено автоматическое обновление имени табличного списка в метаданных при переименовании (special thanks @bobyboba18).

3.11.16 (Pre-Release)

• исправлена ошибка переименования существующего табличного списка (special thanks @bobyboba18).

3.11.15 (Pre-Release)

• исправлена ошибка считывания разметки правил по матрице MITRE в редакторе метаданных;
• исправлена ошибка создания табличного списка (special thanks @bobyboba18).

3.11.14 (Pre-Release)

• возвращено поле time в модульные тесты нормализаций с исключением из сравнения (special thanks @g4n8g).

3.11.13 (Pre-Release)

• локализовано окно редактора метаданных;
• исправлена ошибка #176 создания пустого kb-пакета для некоторых конфигураций (special thanks @qazws56866)

3.11.12 (Pre-Release)

• исправлена ошибка некорректного сохранения сырого события в тесте нормализации (special thanks @bobyboba18).

3.11.11 (Pre-Release)

• при генерации ObjectID табличного списка теперь учитывает не только его имя но и тип, что позволяет избежать ошибок при установке в PTKB после изменения типа табличного списка (special thanks @DuckDarkwing);
• полностью переработано окно модульных тестов нормализаций и корреляций (special thanks @iam_bdoxhn);
• добавлена возможность пересобрать граф нормализаций (Дерево контента → ... → Компилировать все нормализации);
• добавлен бинарный модуль (исходный код тут) для преобразования evtx-файлов в нужный формат (special thanks @anfinogenov).

3.11.10 (Pre-Release)

• исключено удаление wld-файлов при редактировании структуры табличного списка (special thanks @DuckDarkwing);
• ускорен процесс парсинга метаинформации;
• исправлена ошибка #173 создания табличных списков, заполняемых корреляциями и обогащениями (special thanks @Ideas4Life).

3.11.9 (Pre-Release)

• добавлена поддержка вложенности подправил (subrules) произвольной глубины (special thanks @bstvld);
• исправлена ошибка добавления списочных полей в метаинформации (special thanks @aw350m3, @g4n8g).

3.11.8 (Pre-Release)

• исправлена ошибка получения ожидаемого события в интеграционных тестах (special thanks @g4n8g).

3.11.7 (Pre-Release)

• реализован PoC фичи #156 - создание и редактирование структуры табличных списков (special thanks @iam_bdoxhn);
• добавлена возможность явно не компилировать корреляции при интеграционном тестировании обогащений (special thanks @bobyboba18, @r0mka_Ch);
• локализован интерфейс интеграционных тестов.

3.11.6 (Pre-Release)

• исправлена ошибка формирования дерева контента (special thanks @r0mka_Ch, @FedosovaOA).
• реализована фичa #170 в корреляционном событие добавлено поле time.

3.11.5 (Pre-Release)

• расширение локализации на английском языке (special thanks @DuckDarkwing);
• исправлены ошибки для контента без табличных списков (special thanks @r0mka_Ch).

3.11.4 (Pre-Release)

• добавлено автоматическое сохранение сырого события перед запуском модульного теста (special thanks @zatraahali);
• добавлено автоматическое сохранение при обновлении ожидаемого события в модульных тестах с повторным запуском теста (special thanks @zatraahali);
• при добавлении новой локализации нормализации её критерий адаптирован для нормализаций (special thanks @zatraahali);
• начато добавление поддержки английского языка.

3.11.3 (Pre-Release)

• ослабил требования к заполнению описания и локализации.

3.11.2 (Pre-Release)

• исправлена ошибка статуса интеграционных тестов;
• реализована фича #171 - описание функций и полей таксономии при наведении на них мышки;
• исправлена ошибка создания обогащений из шаблонов (special thanks @skylex11).

3.11.1 (Pre-Release)

• актуализирована метаинформация для шаблонов правил обогащения (special thanks @DuckDarkwing).

3.11.0 (Pre-Release)

• актуализирован шаблон Password_Brute правила корреляции;
• исправлена ошибка при генерации ожидаемого события, исключалось необходимое поле time (special thanks @g4n8g).

3.10.0 (Release)

• реализована фичa #133 для генерации ожидаемого события для правил на основе подправил (subrules);
• добавлена кнопка обновления ожидаемого события фактическим в модульных тестах корреляций и нормализаций;
• реализована фича #162 - сбор всех артефактов заменён сбором всех графов без сборки локализаций (special thanks to @laaral-home за кейс);
• добавлены отдельными пунктами меню дерева контента (нужно нажать на три точки справа) возможность собирать все локализации и wld;
• добавлена проверка в редакторе локализаций на наличие локализаций по умолчанию, что является ошибкой;
• реализована фича #140 - функция проверки правил в выбранной директории через правая кнопка мыши на директории -> Проверить для отображенных в дереве правил;
• после прохождения интеграционных тестов или тестов локализации отображается статус правила в дереве контента с необходимым описанием;
• исправлены ошибки, повышена стабильность и улучшен user experience.

3.9.11 (Pre-Release)

• исправлена ошибка оборачивания в конверт событий.

3.9.10 (Pre-Release)

• расширены кейсы генерации тестовых событий для интеграционных тестов обогащений.

3.9.9 (Pre-Release)

• исправлена ошибка генерации тестовых локализаций (special thanks to @bobyboba18 за кейс).

3.9.8 (Pre-Release)

• PoC фичи #133 для генерации ожидаемого события для правил на основе подправил (subrules);
• добавлена кнопка обновления ожидаемого события в модульных тестах, что очень важно для тестирования нормализаций. Теперь ожидаемое событие из фактического можно получить одним нажатием клавиши;
• исправлена проблема формирования пути в режиме EDR (special thanks to @aw350m3).

3.9.7 (Pre-Release)

• добавлена проверка на допустимые имена правил при создании их из шаблона (special thanks to @bobyboba18 за кейс);
• добавлена проверка на возвращаемое значение утилит из KBT;
• фича #162 - сбор всех артефактов заменён сбором всех графов без сборки локализаций (special thanks to @laaral-home за кейс);
• добавлены отдельным пунктом в меню дерева контента (нужно нажать на три точки справа) возможность собирать все локализации и wld.

3.9.6 (Pre-Release)

• исправлен баг #160 - пользовательский контент игнорируется при распаковке kb-файла (thanks to the community comrad);
• повышена стабильность.

3.9.5 (Pre-Release)

• после прохождения интеграционных тестов или тестов локализации отображается статус правила в дереве контента с необходимым описанием;
• добавлена проверка в редакторе локализаций на наличие локализаций по умолчанию, что является ошибкой;
• описание правила корреляции и обогащения появляется при наведении на него в дереве контента;
• исправлена ошибка упаковки тестовых событий для интеграционных тестов (special thanks @g4n8g);
• PoC фичи #140 - функция проверки правил в выбранной директории через правая кнопка мыши на директории -> Проверить для отображенных в дереве правил;
• если обогащение работает только с нормализованными событиями, то граф корреляций не собирается без запроса подтверждения от пользователя.

3.9.4 (Pre-Release)

• расширение адаптировано для KBТ (бандл зависимых бинарных утилит) версий 26.0.4369;
• добавлено уведомление о необходимости установки git;
• добавлена автоматическая пересборка графа нормализаций в том случае, если обнаружены изменения хотя бы одной формулы нормализации в git;
• исключены излишние обновления файлов локализации и метаинформации;
• исключена перезапись Output лога при запуске и открытии модульных тестов.

3.9.3 (Pre-Release)

• снова вернули работу хоткеев Ctrl+Z и Ctrl+Y во вьюшку интеграционных тестов, которая была временно исключена в версии 3.9.2 (Pre-Release);
• добавлена функция Undo и Redo при редактировании кода интеграционных тестов;
• исправлено отсутствие вывода ошибок для модульных тестов нормализаций (special thanks @r0mka_Ch).

3.9.2 (Pre-Release)

• исключили работу хоткеев Ctrl+Z и Ctrl+Y во вьюшку интеграционных тестов в связи с неожиданной ошибкой повреждения файлов интеграционных тестов.

3.9.1 (Pre-Release)

• PoC фичи #146 - сравнение фактического и ожидаемого событий в интеграционных тестах с помощью кнопки Сравнить полученные результаты для непрошедших тестов;
• вернули работу хоткеев Ctrl+Z и Ctrl+Y во вьюшку интеграционных тестов (special thanks @iam_bdoxhn);
• в интеграционных тестах кнопка Получить ожидаемое событие перенесена ближе к коду теста, для которого она применяется;
• валидация регулярных выражений понижена в важности до предупреждения (Warning);
• дополнили список тактик MITRE ATT&CK в метаинформации (special thanks to @paran0id_34).

3.8.1 (Release)

• исправлен баг с перемешиванием тестов нормализаций при сохранении;
• исправлен баг при обновлении списка модульных тестов.

3.8.0 (Release)

• фича #132 - увеличение количества получаемых тестовых локализаций и увеличение скорости их генерации (special thanks @mmaximov);
• фича #142 - добавлен настраиваемый параметр расширения correlatorTimeout, позволяющий регулировать таймаут работы коррелятора (special thanks @DuckDarkwing за кейс);
• фича #45 - теперь параметр contentPrefix можно очистить и для создаваемых правил не будет генерироваться значение ObjectID (special thanks @zatraahali за кейс);
• актуализированы шаблоны и сниппеты (special thanks @zBlur), добавлен шаблон (Password_Brute) для создания правил корреляции на брутфорс произвольного сервиса;
• максимально увеличена скорость интеграционных тестов и проверки локализаций для баз знаний произвольного размера;
• добавлен запрос о компиляции зависимых корреляций при запуске интеграционных тестов для корреляций с сабрулями и обогащений;
• добавлена возможность сохранять интеграционные тесты, локализации и метаинформацию по нажатию комбинации CTRL + S.

3.7.8 (Pre-Release)

• фича #142 - добавлен настраиваемый параметр расширения correlatorTimeout, позволяющий регулировать таймаут работы коррелятора (special thanks @DuckDarkwing за кейс);
• фича #45 - теперь параметр contentPrefix можно очистить и для создаваемых правил не будет генерироваться значение ObjectID (special thanks @zatraahali за кейс).

3.7.7 (Pre-Release)

• примеры локализаций теперь можно получить гораздо быстрее без дополнительных запусков интеграционных тестов (special thanks @mmaximov за идею);
• добавлена возможность сохранять метаинформацию по нажатию комбинации CTRL + S;
• при получении ожидаемого события исключено появления окна Output, просмотреть полученное событие можно сразу в редакторе интеграционных тестах и сохранить в случае необходимости;
• исправлена ошибка оборачивания сырого события в конверт (special thanks to @bobyboba18 за кейс);
• добавлено автоматическое сохранение локализаций перед получением примеров локализаций.

3.7.6 (Pre-Release)

• исключена возможность проверять локализации нормализаций, так как данный функционал еще не реализован (special thanks @gautama_s за кейс);
• исправлена ошибка #143 - повисание процесса экспорта и импорта KB-файлов при отсутствии .NET Runtime (special thanks @denisiaka за кейс);
• исправлены проблемы с добавлением/удалением тестов в редакторе интеграционных тестов (special thanks @iam_bdoxhn);
• исключена ошибка инициализации расширения при невозможности удалить временные файлы.

3.7.5 (Pre-Release)

• улучшена формулировок сообщений об ошибках, добавлены рекомендации по их исправлению;
• исправлен баг #137 - добавлена проверка на генерацию ожидаемого события для тестов c проверкой expect not {} (special thanks @g4n8g);
• добавлены сниппеты по событиям доступа к файлам для Windows и Linux;
• исправлена ошибка генерации примеров локализаций и интеграционных тестов в правилах с множественным использованием одного подправила (сабруля).

3.7.4 (Pre-Release)

• максимально увеличена скорость интеграционных тестов и проверки локализаций для баз знаний произвольного размера;
• добавлена возможность использовать комбинацию клавиш CTRL + A для всех полей в интеграционных тестах (special thanks @iam_bdoxhn);
• исключена возможность добавлять и проверять локализации для правил обогащения;
• исправлен разъезд разметки при проверке локализаций (special thanks @iam_bdoxhn).

3.7.3 (Pre-Release)

• фича #132 - увеличение количества получаемых тестовых локализаций (special thanks @mmaximov);
• добавлен вывод информации о невозможности получения ожидаемого события в интеграционных тестах для правил с использованием сабрулей (например, correlation_name == "subrule_...");
• добавлен запрос о компиляции зависимых корреляций при запуске интеграционных тестов для корреляций с сабрулями и обогащений.

3.7.2 (Pre-Release)

• возвращены лаконичные описания контекстного меню Редактор правил локализации → Локализации, Редактор метаинформации → Метаинформация;
• фича #128 - единый порядок элементов контекстного меню для корреляций и нормализаций (special thanks @g4n8g);
• актуализированы шаблоны и сниппеты (special thanks @zBlur);
• добавлена возможность сохранять локализации по нажатию комбинации CTRL + S.

3.7.1 (Pre-Release)

• фича #100 - добавлена возможность остановки выполнения интеграционных тестов;
• добавлена проверка неявного приведения типа Number (поля dst.port, src.port и т.д.) к строке при операциях конкатенации (special thanks @DuckDarkwing, @FedosovaOA за кейс);
• добавлен шаблон (Password_Brute) для создания правил корреляции на брутфорс произвольного сервиса.

3.7.0 (Pre-Release)

• добавлен вывод уведомлений пользователю, если возникают проблемы с парсингом корреляций и нормализаций;
• фича #127 - интеграционных и модульные тесты работают для баз знаний без табличных списков;
• добавлена возможность сохранять интеграционные тесты по нажатию комбинации CTRL + S.

3.6.0 (Release)

• фича #44 - добавлена подсветка кода в интеграционных тестах с её обновлением в процессе редактирования;
• фича #88 - добавление конверта на события без конверта в интеграционных тестах;
• добавлено автоматическое выделение правила в дереве контента при открытии файлов *.co, *.en, *.xp в Explorer (Activity Bar);
• добавлены сниппеты для external_src.*, external_dst.*, datafield* и datafieldN;
• добавлены сниппеты и описание для функций декодирования Base64: decode, buffer_from_base64;
• обновлены шаблоны корреляций For_Profiling и Windows_Logon;
• исправлены ошибки и повышена стабильность.

3.5.13 (Pre-Release)

• PoC фичи #44 - добавлена подсветка кода в интеграционных тестах с её обновлением в процессе редактирования;
• поле нормализованного события в интеграционных тестах теперь readonly;
• в интеграционных тестах из отображения нормализованного события исключено поле body;
• из сравнения результатов тестов нормализаций исключены поля recv_time и time;
• добавлена валидация путей на наличие пробелов и кириллицы в тестах нормализаций (special thanks @gautama_s за кейс).

3.5.12 (Pre-Release)

• PoC фичи #88 - добавление конверта на события без конверта в интеграционных тестах;
• в создаваемый интеграционный тест теперь не копируются сырые события из предыдущего теста.

3.5.11 (Pre-Release)

• исправлена ошибка с получением ожидаемого события через код тестов.

3.5.10 (Pre-Release)

• добавлена базовая подсветка синтаксиса wld-файлов;
• функция получения ожидаемого события теперь обновляет его сразу в коде теста;
• улучшена подсветка синтаксиса макросов.

3.5.9 (Pre-Release)

• исправлена ошибка при тестировании правила с сабрулями;
• исправлена дата создания правила при использовании шаблонов.

3.5.8 (Pre-Release)

• исправлена ошибка редактирования локализаций.

3.5.7 (Pre-Release)

• исправлена ошибка потери актуального состояния кода правила при его переименовании.

3.5.6 (Pre-Release)

• исправлена проблема со свёртыванием/развёртыванием директорий в дереве контента.

3.5.5 (Pre-Release)

• улучшен шаблон For_Profiling, актуализированы его тесты и описание.

3.5.4 (Pre-Release)

• добавлены сниппеты и описание для функций декодирования Base64;
• исправлена ширина кнопки "обернуть в конверт";
• исправлены шаблоны For_Profiling и Windows_Logon.

3.5.3 (Pre-Release)

• добавлены сниппеты для external_src.*, external_dst.*, datafield* и datafieldN;
• исправлена ошибка неправильного отображения состояния интеграционных тестов.

3.5.2 (Pre-Release)

• исправлена кодировка при нормализации;
• исправлена кодировка вывода утилиты kbpack;
• убран параметр с appendix.xp при запуске тестов нормализации.

3.5.1 (Pre-Release)

• добавлена полная синхронизация панели Explorer и дерева контента.

3.5.0 (Pre-Release)

• добавлено автоматическое выделение правила в дереве контента при открытии файлов *.co или *.en в Explorer (Activity Bar).

3.4.0

• исправлена ошибка с кириллицей при получение ожидаемого события в интеграционных тестах;
• использованы более понятные термины в webView интеграционных тестов;
• добавлено сохранение нормализованных событий при сохранении интеграционных тестов;
• закрыта #111 - добавлена валидация ошибок присвоения полей события в блоках on/emit;
• закрыта #108 - вывод статуса интеграционных тестов;
• закрыта #110 - добавлена поддержка корректной кодировки ошибок при запуске интеграционных тестов;
• добавлена проверка наличия siemkb_tests при запуске интеграционных тестов;
• добавлена поддержка Pre-Release сборок.

3.3.25 (Pre-Release)

• заменил "Запустить быстрый тест" на "Получить ожидаемое событие" в интеграционных тестах;
• заменил "MIME-тип" на "Обернуть в конверт сырые события" в интеграционных тестах;
• добавлено сохранение нормализованных событий при сохранении всех интеграционных тестов.

3.3.24 (Pre-Release)

• исправлена ошибка с кириллицей при запуске "Быстрого теста" в интеграционных тестах.

3.3.23 (Pre-Release)

• закрыта #111 - добавлена валидация ошибок присвоения полей события в блоках on/emit;
• закрыта #108 - вывод статуса интеграционных тестов;
• закрыта #110 - добавлена поддержка корректной кодировки ошибок при запуске интеграционных тестов;
• добавлена проверка наличия siemkb_tests при запуске интеграционных тестов;
• добавлена поддержка Pre-Release сборок.

3.3.20

• добавлен прогресс бар для оборачивания большого количества событий в конверт;
• добавлено переименование нормализаций;
• убрал возможность создавать правила внутри директории табличного списка;
• исправлено #99 - неоднозначность терминологии в интерфейсе;
• исправлено #101 - интеграционные тесты не проходили при отсутствии заполненной локализации.

3.3.19

• добавлены 7 шаблонов нормализаций;
• исправлена ошибка при удалении тестов в webView интеграционных тестов (special thanks to @g4n8g);
• исправлено #84 - открытие правил с русской локализацией, но без английской;
• из метаинформации правил, создаваемых из шаблонов, исключено устаревшее поле метаинформации Name (special thanks to @g4n8g).

3.3.18

• исправлено #93 - перемешивание интеграционных тестов при сохранении или запуске всех тестов;
• добавлена функция проверка локализаций на основе тестовых событий - закрыт #94;
• модификация файлов интеграционных тестов только при их изменении - закрыт #91;
• добавлена проверка повторного запуска kbt-утилит в интеграционных тестов.

3.3.17

• добавлена поддержка работоспособности расширения без установленного git;
• удаление хотфикса с двойной вставкой в webView после исправления бага в VSCode;
• обновлено представление тактик матрицы MITRE в метаданных правил.

3.3.16

• исправлена ошибка упаковки пользовательского контента в kb-пакет;
• исправлена ошибка оборачивания в конверт событий в webView скоррелированных событий.

3.3.15

• исправлена ошибка оборачивания в конверт нескольких xml-событий;
• унифицирован способ запуска утилиты kbpack.

3.3.14

• добавлено автоматическое заполнение строковых значений полей типа enum;
• исправлена ошибка заполнения expect при создания корреляции из шаблона;
• исправлена ошибка заполнения поля метаданных Created при создания корреляции из шаблона;
• добавил подстановку имени правила в критерий локализации по умолчанию для правил корреляции и нормализации.

3.3.13

• фильтрация меток BOM из файлов метаинформации макросов.

3.3.12

• исправлено обрамление ключевого слова false в ТС;
• добавлена обработка формата для типа CybsiGrid;
• в алгоритм распаковки пакета добавлено копирование папки common.

3.3.11

• добавлено исправление формата табличных списков при импорте пакета.

3.3.10

• исправлена ошибка с распаковкой kb-файлов.

3.3.9

• добавлена поддержка интеграционных тестов для корреляций, использующий сабрули, и любых обогащений;
• оптимизирована компиляция артефактов при запуске интеграционных тестов;
• исправлена ошибка очищения временной директории при инициализации расширения.

3.3.8

• исправлена ошибка генерации идентификатора объекта базы знаний;
• исправлены шаблоны для создания правил (спасибо @Vasilisa-L).

3.3.7

• исправлена ошибка переименования обогащений;
• добавлена возможность изменения общего описания обогащений.

3.3.6

• правки для запуска на Linux;
• запуск всех модульных тестов нормализаций не требует сборки ТС;
• добавлена автоматическая загрузка новых стабильных версий в Open VSIX.

3.3.5

• табличные списки компилируются только для модульных тестов корреляций;
• добавлено автоматическое добавление новых стабильных версий в релизы;
• добавлена автоматическая загрузка новых стабильных версий в VSCode Marketplace.

3.3.4

• исправлены элементы в окне создания правила;
• исправлена проблема с выравниванием файлов в дереве контента;
• добавлены свои иконки папок.

3.3.3

• добавлена поддержка модульных тестов для нормализаций (special thanks to @aw350m3);
• реализован единый интерфейс запуска и редактирования модульных тестов для корреляций и нормализаций (special thanks to @aw350m3);
• расширена валидация блока filter для обогащений;
• добавлена функциональность для валидация alert.key и первого параметра макросов вайтлистинга;
• внесены изменения для корректной работы в linux-окружении (special thanks to @aw350m3);
• добавлена возможность создавать нормализации (special thanks to @aw350m3);
• внесены изменения для корректной работы с макросами;
• исправлены ошибки и повышена стабильность.

3.2.6

• добавлены расширенные автодополнения в блоке filter;
• добавлена возможность в тесты добавлять события в xml-формате из EventViewer;
• добавлена проверка на некорректное сравнение в блоке filter.

3.2.5

• исключено сохранение полей старого формата метаинформации;
• добавлена автоматическая сборка схемы ТС перед запуском быстрого теста (special thanks to @zBlur);
• в шаблон Unix_Connect добавлены блоки dst.* и src.* (special thanks to @g4n8g);
• исправлена ошибка проверки корректности первого параметра вайтлистинга и имени корреляции для новых макросов.

3.2.4

• добавлена поддержка нового формата метаинформации;
• исправлена ошибка добавлении локализации правила корреляции на одном языке;
• исключено сохранение собранного графа обогащения;
• скорректированы шаблоны Unix-правил и сниппеты под новую таксономию.

3.1.8

• добавлена поддержка системы перевода Memoq;
• добавлено выявление некорректного использования функции lower отдельно и в сочетании с функциями find_substr, match, regex;
• исправлена ошибка совпадения ObjectID при создании правил из шаблонов (special thanks to @bobyboba18 за кейс);
• добавлен вывод полей скоррелированных событий;
• добавлена возможность нормализовать и обогащать события в интеграционных тестах;
• добавлена поддержка KBT, единого пакета необходимых утилит и данных;
• добавлена поддержка использования сабрулей из других пакетов экспертизы;
• оптимизирован сбор ТС и графов при нормализации и обогащении тестовых событий;
• оптимизирован сбор ТС и графов при коррелировании событий;
• исправлена ошибка добавления конвертов на сырые события с важность medium;
• исправлена ошибка очистки скоррелированных событий;
• добавлены шаблоны unix правил (special thanks to @paran0id_34);
• оптимизирована сборка артефактов при запуске интеграционных тестов;
• добавлены сниппеты для событий Unix систем, начинающиеся с event Unix*;
• добавил валидацию равенства importance и incident.severity;
• сохранение ObjectID при переименовании корреляций и обогащений.

3.0.4

• из репозитория исключены внешние утилиты;
• изменена структура папок проекта;
• исключены лишние данные из тестов;
• выбрали временную иконку расширения;
• изменено название создаваемого vsix-файла.

3.0.3

• создание обогащений переведено на шаблоны;
• исправлена ошибка нормализации неактуального сырого события в интеграционных тестов;
• исправлена ошибка отображения нормализованного события в добавляемых тестах.

3.0.2

• исправлена ошибка запуска тестов для правил с сабрулями (special thanks to @bobyboba18 за кейс);
• исправлено открытие правила после появления ошибок в тестах (special thanks to @bobyboba18 за кейс);
• убрано открытие файлов с ошибками и предупреждениями при сборке графа, запуске интеграционных тестов.

3.0.1

• исправлено возможное перезатирание старой версией кода правила при переименовании (special thanks to @paran0id_34 за репорт).

3.0.0

• появился переключатель типов контента (SIEM, EDR) на нижней панели;
• улучшено информирование пользователя об ошибках нормализации событий в интеграционных тестах (special thanks to @bobyboba18 за кейс);
• исправил ошибку сохранения в метаинформации элементов списка EventID в двойных кавычках.

2.3.38

• улучшена подсветка синтаксиса модульных файлов модульных интеграционных тестов (.sc и .tc);
• исправлена ошибка с двойным копированием с помощью Ctrl+C, Ctrl+V.

2.3.36

• исправлена ошибка с поддержкой Unix-овых EventID в DataSources (special thanks to @paran0id_34 за репорт).

2.3.35

• исправлена ошибка подсветки и форматирования модульных тестов.

2.3.34

• добавлена подсветка ошибок заполнения полей в редакторе метаданных и проверка при сохранении (special thanks to @paran0id_34 за репорт);
• улучшена проверка имени корреляции в функциях вайтлистинга;
• проверена совместимость с VsCodium (тот же VsCode без телеметрии от Microsoft);
• из тестов выпилена значительная часть кода наших корреляций и убраны лишние атрибуты из метаданных;
• в описание функции regex добавлена ссылка на описание синтаксиса RE2.

2.3.33

• добавлена интеллектуальная подсветка вызовов функций, к которым добавлено описание;
• добавлена экспериментальная подсветка нормализованных событий в интеграционных тестах (special thanks to @anfinogenov);
• добавлена первая версия шаблонов для создания корреляционных правил (special thanks to @zBlur).

2.3.32

• решены все проблемы со сборкой kb-пакета для корректной загрузки в SIEM через PTKB;
• исправлены ошибки в сниппетах и добавлены несколько экспериментальных по ключевому слову event;
• исправлена ошибка с кодировкой (или еще чем-то) в описаниях функций (special thanks to @paran0id_34 за репорт);
• добавлены описания функций языка XP (special thanks to @paran0id_34, @mukharlyamoff и @bobyboba18 за реализацию);
• исправлена ошибка появления описания параметров для вложенных вызовов функций;
• исправлена ошибка некорректного подсветки узлов дерева контента при изменении правила.

2.3.31

• исправлена ошибка переименовая корреляционного правила только с изменением регистра в Windows (special thanks @fake_Julia);
• добавлено переименование обогащений;
• добавлено удаление полей siem_id, labels, time из секции expect интеграционных тестов и автоматическое в быстрых тестах;
• модифицирован шаблон "Универсальный", теперь $incident.severity = $importance;
• добавлено корректное отображение нормализованных событий в нормализациях несмотря на расширение .js.

2.3.30

• полностью реализована упаковка одного пакета с помощью kbtools;
• полностью реализована распаковка одного, нескольких пакетов с помощью kbtools;
• добавлена поддержка произвольной структуры базы знаний;
• новое название расширения eXtraction and Processing;
• повышена стабильность и производительность.

2.3.27

• исправлена ошибка некорректной генерации ObjectId при перемеиновании правила;
• теперь не возникает ошибок при работе с контентом без git-а;
• подсветка измененных и добавленных правил теперь идёт вместе с родительскими директориями;
• улучшено автоматическое обновление дерева при смене ветки;
• исправлена ошибка открытия макросов и нумерации модульных тестов;
• базовый функционал нормально начал отрабатывать на MacOS.

2.3.24

• исправлена ошибка создания двух штатных тестов при создании корреляции (special thanks to @bobyboba18 за репорт).

2.3.23

• добавлен настраиваемый через конфигурацию префикс для создаваемых правил и пакетов;
• доработана опция распаковки kb-пакетов в имеющийся репозиторий. Пакеты выгруженные из старого сиема имеют имя в виду GUID;

2.3.22

• сохранение контента проводиться асинхронно;
• уменьшен размер генерируемого ObjectId для исключения ошибок со стороны PTKB;
• исправлена ошибка сохранения модульных тестов.

2.3.20

• исключено дефолтное заполнение описания и локализации для правил корреляции;
• расширение можно запускать на Linux с дефолтной функциональностью;
• распаковка kb-файла в виде пакета.

2.3.12

• добавлена функция создания пакета через контекстное меню;
• сборка пакета в формате kb через контекстное меню;
• расширены операции с директориями для всех типов правил;
• исправлены ошибки и повышена стабильность.

2.3.11

• добавил разделение обнаруженных ошибок и замечаний по типам;
• реализовал унифицированную систему парсинга ошибок в интеграционных и модульных тестах;
• исправлена ошибка отображения вьюшек при обновлении VsCode до версии 1.73.

2.3.8

• вернулись к предыдущей схеме запуска интеграционных тестов для правил с сабрулями, сабрули успешно работают для правил в рамках одного пакета. Задача запуска тестов для произвольных сабрулей будет решена в будущих релизах;
• проверена работоспособность с новой версией build tools (0.23.889).

2.3.7

• добавлена подсветка ошибок синтаксиса правила в нативном окне VsCode при запуске интеграционных и модульных тестов;
• при запуске интеграционных тестов снова собираются все корреляции, так как выявленная ошибка c таймаутом больше не воспроизводится.

2.3.5

• улучшен механизм контроля смены ветки в репозитории;
• в модульные тесты добавлена проверка наличия нужных графов;
• в модульные тесты добавлено автоматическое сохранение тестов при их запуске;
• в модульных тестов улучшена обработка текущего состояния каждого теста;
• улучшена подсветка для конструкции query (special thanks to @zBlur).

2.3.4

• добавил подстветку синтаксиса файла табличного списка;
• в автодополнение добавлены наиболее популярные ключевые слова (and, or, not, with different, event, key, query, from, qhandler, limit, skip, filter, init, on, emit, close, within, timer, timeout_timer, as, insert_into, remove_from, clear_table, enrich, enrich_fields, if, then, elif, else, endif);
• добавлено автодополнение полей правила, которые начинаются с $;
• исправил ошибку сохранения всех тестов (special thanks to @bobyboba18).

2.3.3

• при запуске интеграционных тестов для правила с сабрулями, теперь собираются не все корреляции, а только из текущего пакета выбранного правила. Остальные графы как и прежде собираются в полном объеме. Так сделано из-за особенностей работы build-tools;
• добавлено автоматическое сохранение кода правила при запуске интеграционных (штатных и быстрых) тестов;
• реализовано автоматическое обновление дерева контента при смене текущей git-ветки;
• окно Output автоматически показывается в том случае, если оно действительно необходимо (результат модульных тестов) или появляется ошибка;
• исправлена ошибка с неполной очисткой полей события для expect;
• добавлено удаление новых строк из локализаций.

2.3.2

• добавлена возможность оборачивать в конверт сырые события, скопированные через Ctrl+C из SIEM-а;
• реализована автоматическая сортировка полей тестов (нормализованных событий и кода тестов), например, теперь поля группы subject.* находятся рядом, а не в хаотическом порядке как раньше.

2.3.1

• добавлена новая иконка расширения;
• автоматическое дополнение полей таксономии из файла описания;
• пополнено описание функций для корреляций и обогащений;
• исправлена ошибка с некорректным информированием о результате сбора графов.

2.2.9

• добавлена подсветка измененных правил из git;
• добавлена возможность запуска быстрых тестов для обогащений;
• исправлена ошибка некорректного результата быстрых тестов для обогащений и корреляций;
• описание функций в файле ptco.signature.json при открытии скобок c параметрами;
• автоматические автодополнение функций, описанных в файле ptco.signature.json;
• автодополнение функций и описание их параметров расширено для обогащений;
• возможность собирать схему ТС и графы нормализаций, обогащения и корреляции одной кнопкой.

2.2.6

• создание и редактирование обогащений;
• переименование корреляций;
• корректно работающие иконки при выполении модульных тестов;
• корректно работающий прогресс бар модульных тестов;
• сохранение статуса выполнения тестов с новыми иконками.

2.1.9

• исправлено заполнение метаинформации при создании корреляции;
• исправлено заполнение поле MITRE в метаинформации;
• исправлена ошибка с модульными тестами;
• добавлена возможность удалять модульные тесты.

2.1.7

• для правил, которые используют сабрули, автоматические собирается полный граф корреляций;
• исправлена ошибка оборачивания тестовых сырых событий в конверт;
• обновлены сниппеты;
• модифицировано представление интеграционных тестов;
• добавлена возможность очистить код интеграционных тестов (кнопка 'Очистить код теста');
• добавлена автоматическая очистка кода тестов при быстром тесте.

2.1.5

• исправлена ошибка открытия обогащений, агрегаций и нормализаций;
• добавлена подстветка синтаксиса агрегаций;
• исправил ошибку сохранения добавленных локализаций;
• добавил в шаблон "Универсальный" правила корреляции имя правила а вайтлистинг.

2.1.4

• добавлена возможность добавлять и удалять интеграционные тесты;
• теперь интеграционные тесты обновляются (перечитываются из файлов) каждый раз при их открытии;
• исправлена ошибка, связанная с удвоением скопированных данных во всех вебвью (интеграционные тесты и другие);
• версия VsCode поднята с "^1.43.0" до "^1.69.0";
• добавлено дефолтное заполнение кода интеграционного теста при его создании.

2.1.1

• нормализованное событие в интеграционных тестах (контекстное меню Тесты) выводится только если оно есть;
• теперь модульные тесты обновляются (перечитываются из файлов) каждый раз при выборе правила;
• исправлена ошибка кнопки обновления списка модульных тестов, она не отрабатывала;
• при выборе файла .co во вьюшке Explorer открывается правило в расширении, если оно ранее уже было в списке открытых правил.