Zum Inhalt

Über Hayabusa

Hayabusa ist ein schneller forensischer Zeitleisten-Generator für Windows-Ereignisprotokolle und ein Threat-Hunting-Werkzeug, das von der Yamato Security-Gruppe in Japan entwickelt wurde. Hayabusa bedeutet auf Japanisch "Wanderfalke" und wurde gewählt, weil Wanderfalken die schnellsten Tiere der Welt sind, hervorragend jagen und sich sehr gut trainieren lassen. Es ist in dem speichersicheren Rust geschrieben, unterstützt Multithreading, um so schnell wie möglich zu sein, und ist das einzige Open-Source-Werkzeug, das die Sigma-Spezifikation einschließlich der v2-Korrelationsregeln vollständig unterstützt. Hayabusa kann das Parsen von Upstream-Sigma-Regeln verarbeiten, jedoch werden die Sigma-Regeln, die wir verwenden und im hayabusa-rules-Repository hosten, einer gewissen Konvertierung unterzogen, um das Laden der Regeln flexibler zu gestalten und Fehlalarme zu reduzieren. Details dazu können Sie in der README-Datei des sigma-to-hayabusa-converter-Repositorys nachlesen. Hayabusa kann entweder auf einzelnen laufenden Systemen zur Live-Analyse ausgeführt werden, durch das Sammeln von Protokollen von einzelnen oder mehreren Systemen zur Offline-Analyse oder durch das Ausführen des Hayabusa-Artefakts mit Velociraptor für unternehmensweites Threat Hunting und Incident Response. Die Ausgabe wird in einer einzigen CSV/JSON/JSONL-Zeitleiste konsolidiert, um eine einfache Analyse in LibreOffice, Timeline Explorer Elastic Stack, Timesketch usw. zu ermöglichen ...