Projekte & Ökosystem

Begleitprojekte

• EnableWindowsLogSettings - Dokumentation und Skripte zum korrekten Aktivieren von Windows-Ereignisprotokollen.
• Hayabusa Encoded Rules - Das Gleiche wie das Hayabusa-Rules-Repository, aber die Regeln und Konfigurationsdateien werden in einer Datei gespeichert und mit XOR verschlüsselt, um Fehlalarme von Antivirenprogrammen zu verhindern.
• Hayabusa Rules - Hayabusa- und kuratierte Sigma-Erkennungsregeln, die von Hayabusa verwendet werden.
• Hayabusa EVTX - Ein besser gepflegter Fork der evtx-Crate.
• Hayabusa Sample EVTXs - Beispiel-evtx-Dateien zum Testen von Hayabusa-/Sigma-Erkennungsregeln.
• Presentations - Präsentationen von Vorträgen, die wir über unsere Tools und Ressourcen gehalten haben.
• Sigma to Hayabusa Converter - Kuratiert auf Windows-Ereignisprotokollen basierende Upstream-Sigma-Regeln in eine einfacher zu verwendende Form.
• Takajo - Ein Analysetool für Hayabusa-Ergebnisse.
• WELA (Windows Event Log Analyzer) - Ein in PowerShell geschriebenes Analysetool für Windows-Ereignisprotokolle. (Veraltet und durch Takajo ersetzt.)

Drittanbieterprojekte, die Hayabusa verwenden

• AllthingsTimesketch - Ein NodeRED-Workflow, der Plaso- und Hayabusa-Ergebnisse in Timesketch importiert.
• LimaCharlie - Bietet cloudbasierte Sicherheitstools und Infrastruktur, die auf Ihre Bedürfnisse zugeschnitten sind.
• OpenRelik - Eine quelloffene (Apache-2.0) Plattform zur Optimierung kollaborativer digitaler forensischer Untersuchungen.
• Splunk4DFIR - Starten Sie schnell eine Splunk-Instanz mit Docker, um während Ihrer Untersuchungen Protokolle und Tool-Ausgaben zu durchsuchen.
• Velociraptor - Ein Tool zum Sammeln hostbasierter Statusinformationen mithilfe von Abfragen der Velociraptor Query Language (VQL).

Weitere Analysetools für Windows-Ereignisprotokolle und verwandte Ressourcen

• APT-Hunter - In Python geschriebenes Angriffserkennungstool.
• Awesome Event IDs - Sammlung von Event-ID-Ressourcen, die für digitale Forensik und Incident Response nützlich sind
• Chainsaw - Ein weiteres Sigma-basiertes Angriffserkennungstool, geschrieben in Rust.
• DeepBlueCLI - In Powershell geschriebenes Angriffserkennungstool von Eric Conrad.
• Epagneul - Graph-Visualisierung für Windows-Ereignisprotokolle.
• EventList - Zuordnung von Event-IDs der Security-Baseline zu MITRE ATT&CK von Miriam Wiesner.
• Mapping MITRE ATT&CK with Window Event Log IDs - von Michel de CREVOISIER
• EvtxECmd - Evtx-Parser von Eric Zimmerman.
• EVTXtract - Wiederherstellung von EVTX-Protokolldateien aus nicht zugewiesenem Speicherplatz und Speicherabbildern.
• EvtxToElk - Python-Tool zum Senden von Evtx-Daten an den Elastic Stack.
• EVTX ATTACK Samples - EVTX-Beispiel-Ereignisprotokolldateien von Angriffen von SBousseaden.
• EVTX-to-MITRE-Attack - EVTX-Beispiel-Ereignisprotokolldateien von Angriffen, zugeordnet zu ATT&CK von Michel de CREVOISIER
• EVTX parser - die von uns verwendete Rust-evtx-Bibliothek, geschrieben von @OBenamram.
• Grafiki - Visualisierungstool für Sysmon- und PowerShell-Protokolle.
• LogonTracer - Eine grafische Oberfläche zur Visualisierung von Anmeldungen, um laterale Bewegungen zu erkennen, von JPCERTCC.
• NSA Windows Event Monitoring Guidance - Der NSA-Leitfaden dazu, was überwacht werden sollte.
• RustyBlue - Rust-Portierung von DeepBlueCLI von Yamato Security.
• Sigma - Community-basierte generische SIEM-Regeln.
• SOF-ELK - Eine vorkonfigurierte VM mit Elastic Stack zum Importieren von Daten für die DFIR-Analyse von Phil Hagen
• so-import-evtx - Importieren von evtx-Dateien in Security Onion.
• SysmonTools - Konfigurations- und Offline-Protokollvisualisierungstool für Sysmon.
• Timeline Explorer - Der beste CSV-Timeline-Analyzer von Eric Zimmerman.
• Windows Event Log Analysis - Analyst Reference - von Steve Anson von Forward Defense.
• Zircolite - Sigma-basiertes Angriffserkennungstool, geschrieben in Python.