حول Hayabusa

Hayabusa هي أداة لتوليد الخط الزمني للتحليل الجنائي السريع لسجلات أحداث Windows وأداة لتعقّب التهديدات أنشأتها مجموعة Yamato Security في اليابان. تعني كلمة Hayabusa "الصقر الجوّال" باللغة اليابانية، وقد تم اختيارها لأن الصقور الجوّالة هي أسرع حيوان في العالم، وبارعة في الصيد وقابلة للتدريب بدرجة عالية. وهي مكتوبة بلغة Rust الآمنة في إدارة الذاكرة، وتدعم تعدد الخيوط (multi-threading) لتكون بأقصى سرعة ممكنة، وهي الأداة مفتوحة المصدر الوحيدة التي تدعم بالكامل مواصفات Sigma بما في ذلك قواعد الارتباط (correlation) من الإصدار v2. يمكن لـ Hayabusa التعامل مع تحليل قواعد Sigma الأصلية (upstream)، إلا أن قواعد Sigma التي نستخدمها ونستضيفها في مستودع hayabusa-rules قد أُجري عليها بعض التحويل لجعل تحميل القواعد أكثر مرونة وتقليل النتائج الإيجابية الكاذبة. يمكنك قراءة التفاصيل حول ذلك في ملف README الخاص بـمستودع sigma-to-hayabusa-converter. يمكن تشغيل Hayabusa إما على الأنظمة العاملة المنفردة للتحليل المباشر، أو عن طريق جمع السجلات من نظام واحد أو أنظمة متعددة للتحليل دون اتصال، أو عن طريق تشغيل أداة Hayabusa artifact مع Velociraptor لتعقّب التهديدات والاستجابة للحوادث على مستوى المؤسسة بأكملها. سيتم توحيد المخرجات في خط زمني واحد بصيغة CSV/JSON/JSONL لتسهيل التحليل في LibreOffice وTimeline Explorer وElastic Stack وTimesketch وغيرها...