الميزات
- دعم متعدد المنصات: Windows وLinux وmacOS.
- مطور بلغة Rust ليكون آمنًا في الذاكرة وسريعًا.
- دعم تعدد الخيوط يوفر تحسينًا في السرعة يصل إلى 5 أضعاف.
- إنشاء خطوط زمنية مفردة سهلة التحليل للتحقيقات الجنائية والاستجابة للحوادث.
- البحث عن التهديدات بناءً على توقيعات IoC المكتوبة بقواعد hayabusa المبنية على YML سهلة القراءة/الإنشاء/التحرير.
- دعم قواعد Sigma لتحويل قواعد sigma إلى قواعد hayabusa.
- يدعم حاليًا أكبر عدد من قواعد sigma مقارنة بالأدوات المماثلة الأخرى، بل ويدعم قواعد العد والمجمّعات الجديدة مثل
|equalsfield و|endswithfield.
- مقاييس الحواسيب. (مفيدة لتصفية أجهزة معينة بكمية كبيرة من الأحداث أو استبعادها.)
- مقاييس Event ID. (مفيدة للحصول على صورة عن أنواع الأحداث الموجودة ولضبط إعدادات السجلات.)
- تكوين ضبط القواعد عبر استبعاد القواعد غير الضرورية أو المزعجة.
- تخطيط تكتيكات MITRE ATT&CK.
- ضبط مستوى القاعدة.
- إنشاء قائمة بالكلمات المفتاحية المحورية الفريدة لتحديد المستخدمين والأسماء المضيفة والعمليات غير الطبيعية بسرعة وغيرها... بالإضافة إلى ربط الأحداث.
- إخراج جميع الحقول لإجراء تحقيقات أكثر شمولًا.
- ملخص لعمليات تسجيل الدخول الناجحة والفاشلة.
- البحث عن التهديدات والـ DFIR على مستوى المؤسسة بأكملها على جميع نقاط النهاية باستخدام Velociraptor.
- الإخراج إلى تقارير ملخصة بصيغة CSV وJSON/JSONL وHTML.
- تحديثات يومية لقواعد Sigma.
- دعم إدخال السجلات بتنسيق JSON.
- تطبيع حقول السجلات. (تحويل حقول متعددة ذات اصطلاحات تسمية مختلفة إلى اسم الحقل ذاته.)
- إثراء السجلات بإضافة معلومات GeoIP (ASN والمدينة والبلد) إلى عناوين IP.
- البحث في جميع الأحداث عن كلمات مفتاحية أو تعبيرات نمطية.
- تخطيط بيانات الحقول. (مثال:
0xc0000234 -> ACCOUNT LOCKED)
- استخراج سجلات evtx من المساحة الفارغة في evtx.
- إزالة تكرار الأحداث عند الإخراج. (مفيدة عند تمكين سجلات الاسترداد أو عند تضمين ملفات evtx الاحتياطية وملفات evtx من VSS وغيرها...)
- معالج إعداد الفحص للمساعدة في اختيار القواعد التي سيتم تمكينها بسهولة أكبر. (لتقليل النتائج الإيجابية الكاذبة وغيرها...)
- تحليل واستخراج حقول سجلات PowerShell الكلاسيكية.
- استخدام منخفض للذاكرة. (ملاحظة: هذا ممكن من خلال عدم فرز النتائج. الأفضل للتشغيل على الوكلاء أو البيانات الضخمة.)
- التصفية على القنوات والقواعد للحصول على أعلى كفاءة في الأداء.
- اكتشاف واستخراج وفك تشفير سلاسل Base64 الموجودة في السجلات.
- تعديل مستوى التنبيه بناءً على الأنظمة الحرجة.