انتقل إلى المحتوى

الميزات

  • دعم متعدد المنصات: Windows وLinux وmacOS.
  • مطور بلغة Rust ليكون آمنًا في الذاكرة وسريعًا.
  • دعم تعدد الخيوط يوفر تحسينًا في السرعة يصل إلى 5 أضعاف.
  • إنشاء خطوط زمنية مفردة سهلة التحليل للتحقيقات الجنائية والاستجابة للحوادث.
  • البحث عن التهديدات بناءً على توقيعات IoC المكتوبة بقواعد hayabusa المبنية على YML سهلة القراءة/الإنشاء/التحرير.
  • دعم قواعد Sigma لتحويل قواعد sigma إلى قواعد hayabusa.
  • يدعم حاليًا أكبر عدد من قواعد sigma مقارنة بالأدوات المماثلة الأخرى، بل ويدعم قواعد العد والمجمّعات الجديدة مثل |equalsfield و|endswithfield.
  • مقاييس الحواسيب. (مفيدة لتصفية أجهزة معينة بكمية كبيرة من الأحداث أو استبعادها.)
  • مقاييس Event ID. (مفيدة للحصول على صورة عن أنواع الأحداث الموجودة ولضبط إعدادات السجلات.)
  • تكوين ضبط القواعد عبر استبعاد القواعد غير الضرورية أو المزعجة.
  • تخطيط تكتيكات MITRE ATT&CK.
  • ضبط مستوى القاعدة.
  • إنشاء قائمة بالكلمات المفتاحية المحورية الفريدة لتحديد المستخدمين والأسماء المضيفة والعمليات غير الطبيعية بسرعة وغيرها... بالإضافة إلى ربط الأحداث.
  • إخراج جميع الحقول لإجراء تحقيقات أكثر شمولًا.
  • ملخص لعمليات تسجيل الدخول الناجحة والفاشلة.
  • البحث عن التهديدات والـ DFIR على مستوى المؤسسة بأكملها على جميع نقاط النهاية باستخدام Velociraptor.
  • الإخراج إلى تقارير ملخصة بصيغة CSV وJSON/JSONL وHTML.
  • تحديثات يومية لقواعد Sigma.
  • دعم إدخال السجلات بتنسيق JSON.
  • تطبيع حقول السجلات. (تحويل حقول متعددة ذات اصطلاحات تسمية مختلفة إلى اسم الحقل ذاته.)
  • إثراء السجلات بإضافة معلومات GeoIP (ASN والمدينة والبلد) إلى عناوين IP.
  • البحث في جميع الأحداث عن كلمات مفتاحية أو تعبيرات نمطية.
  • تخطيط بيانات الحقول. (مثال: 0xc0000234 -> ACCOUNT LOCKED)
  • استخراج سجلات evtx من المساحة الفارغة في evtx.
  • إزالة تكرار الأحداث عند الإخراج. (مفيدة عند تمكين سجلات الاسترداد أو عند تضمين ملفات evtx الاحتياطية وملفات evtx من VSS وغيرها...)
  • معالج إعداد الفحص للمساعدة في اختيار القواعد التي سيتم تمكينها بسهولة أكبر. (لتقليل النتائج الإيجابية الكاذبة وغيرها...)
  • تحليل واستخراج حقول سجلات PowerShell الكلاسيكية.
  • استخدام منخفض للذاكرة. (ملاحظة: هذا ممكن من خلال عدم فرز النتائج. الأفضل للتشغيل على الوكلاء أو البيانات الضخمة.)
  • التصفية على القنوات والقواعد للحصول على أعلى كفاءة في الأداء.
  • اكتشاف واستخراج وفك تشفير سلاسل Base64 الموجودة في السجلات.
  • تعديل مستوى التنبيه بناءً على الأنظمة الحرجة.