المشاريع والنظام البيئي¶
المشاريع المرافقة¶
- EnableWindowsLogSettings - وثائق وبرامج نصية لتفعيل سجلات أحداث Windows بشكل صحيح.
- Hayabusa Encoded Rules - نفس مستودع Hayabusa Rules ولكن يتم تخزين القواعد وملفات التهيئة في ملف واحد مع تطبيق XOR لمنع النتائج الإيجابية الخاطئة من برامج مكافحة الفيروسات.
- Hayabusa Rules - قواعد كشف Hayabusa وقواعد Sigma المنتقاة المستخدمة في Hayabusa.
- Hayabusa EVTX - نسخة متفرعة (fork) أكثر صيانة من حزمة
evtx. - Hayabusa Sample EVTXs - ملفات evtx نموذجية لاستخدامها في اختبار قواعد كشف hayabusa/sigma.
- Presentations - عروض تقديمية من المحاضرات التي قدمناها حول أدواتنا ومواردنا.
- Sigma to Hayabusa Converter - ينظّم قواعد Sigma المعتمدة على سجلات أحداث Windows من المصدر إلى شكل أسهل للاستخدام.
- Takajo - محلل لنتائج hayabusa.
- WELA (Windows Event Log Analyzer) - محلل لسجلات أحداث Windows مكتوب بلغة PowerShell. (مهمل وتم استبداله بـ Takajo.)
مشاريع الطرف الثالث التي تستخدم Hayabusa¶
- AllthingsTimesketch - سير عمل NodeRED يستورد نتائج Plaso وHayabusa إلى Timesketch.
- LimaCharlie - يوفر أدوات وبنية تحتية أمنية قائمة على السحابة لتلبية احتياجاتك.
- OpenRelik - منصة مفتوحة المصدر (Apache-2.0) مصممة لتبسيط تحقيقات الطب الشرعي الرقمي التعاونية.
- Splunk4DFIR - أنشئ بسرعة نسخة من splunk باستخدام Docker لتصفح السجلات ومخرجات الأدوات أثناء تحقيقاتك.
- Velociraptor - أداة لجمع معلومات حالة المضيف باستخدام استعلامات The Velociraptor Query Language (VQL).
محللات سجلات أحداث Windows الأخرى والموارد ذات الصلة¶
- APT-Hunter - أداة كشف هجمات مكتوبة بلغة Python.
- Awesome Event IDs - مجموعة من موارد Event ID المفيدة للطب الشرعي الرقمي والاستجابة للحوادث
- Chainsaw - أداة كشف هجمات أخرى معتمدة على sigma ومكتوبة بلغة Rust.
- DeepBlueCLI - أداة كشف هجمات مكتوبة بلغة Powershell بواسطة Eric Conrad.
- Epagneul - تصور بياني لسجلات أحداث Windows.
- EventList - ربط معرّفات أحداث الأساس الأمني بـ MITRE ATT&CK بواسطة Miriam Wiesner.
- Mapping MITRE ATT&CK with Window Event Log IDs - بواسطة Michel de CREVOISIER
- EvtxECmd - محلل Evtx بواسطة Eric Zimmerman.
- EVTXtract - استعادة ملفات سجل EVTX من المساحة غير المخصصة وصور الذاكرة.
- EvtxToElk - أداة Python لإرسال بيانات Evtx إلى Elastic Stack.
- EVTX ATTACK Samples - ملفات سجل أحداث نموذجية لهجمات EVTX بواسطة SBousseaden.
- EVTX-to-MITRE-Attack - ملفات سجل أحداث نموذجية لهجمات EVTX مرتبطة بـ ATT&CK بواسطة Michel de CREVOISIER
- EVTX parser - مكتبة evtx الخاصة بـ Rust التي نستخدمها مكتوبة بواسطة @OBenamram.
- Grafiki - أداة تصور سجلات Sysmon وPowerShell.
- LogonTracer - واجهة رسومية لتصور عمليات تسجيل الدخول لكشف الحركة الجانبية بواسطة JPCERTCC.
- NSA Windows Event Monitoring Guidance - دليل وكالة الأمن القومي حول ما يجب مراقبته.
- RustyBlue - نسخة Rust من DeepBlueCLI بواسطة Yamato Security.
- Sigma - قواعد SIEM عامة قائمة على المجتمع.
- SOF-ELK - جهاز افتراضي معبأ مسبقاً مع Elastic Stack لاستيراد البيانات لتحليل DFIR بواسطة Phil Hagen
- so-import-evtx - استيراد ملفات evtx إلى Security Onion.
- SysmonTools - أداة تهيئة وتصور السجلات دون اتصال لـ Sysmon.
- Timeline Explorer - أفضل محلل للجداول الزمنية بصيغة CSV بواسطة Eric Zimmerman.
- Windows Event Log Analysis - Analyst Reference - بواسطة Steve Anson من Forward Defense.
- Zircolite - أداة كشف هجمات معتمدة على Sigma ومكتوبة بلغة Python.