Proyectos y ecosistema

Proyectos complementarios

• EnableWindowsLogSettings - Documentación y scripts para habilitar correctamente los registros de eventos de Windows.
• Hayabusa Encoded Rules - Igual que el repositorio Hayabusa Rules, pero las reglas y los archivos de configuración se almacenan en un único archivo y se cifran con XOR para evitar falsos positivos por parte de los antivirus.
• Hayabusa Rules - Reglas de detección de Hayabusa y reglas Sigma seleccionadas que utiliza Hayabusa.
• Hayabusa EVTX - Un fork más mantenido del crate evtx.
• Hayabusa Sample EVTXs - Archivos evtx de ejemplo para usar en la prueba de las reglas de detección de hayabusa/sigma.
• Presentations - Presentaciones de las charlas que hemos dado sobre nuestras herramientas y recursos.
• Sigma to Hayabusa Converter - Adapta las reglas Sigma originales basadas en registros de eventos de Windows a una forma más fácil de usar.
• Takajo - Un analizador para los resultados de hayabusa.
• WELA (Windows Event Log Analyzer) - Un analizador de registros de eventos de Windows escrito en PowerShell. (Obsoleto y reemplazado por Takajo).

Proyectos de terceros que usan Hayabusa

• AllthingsTimesketch - Un flujo de trabajo de NodeRED que importa resultados de Plaso y Hayabusa a Timesketch.
• LimaCharlie - Proporciona herramientas e infraestructura de seguridad basadas en la nube que se adaptan a tus necesidades.
• OpenRelik - Una plataforma de código abierto (Apache-2.0) diseñada para agilizar las investigaciones forenses digitales colaborativas.
• Splunk4DFIR - Pon en marcha rápidamente una instancia de splunk con Docker para examinar registros y la salida de herramientas durante tus investigaciones.
• Velociraptor - Una herramienta para recopilar información de estado basada en hosts mediante consultas de The Velociraptor Query Language (VQL).

Otros analizadores de registros de eventos de Windows y recursos relacionados

• APT-Hunter - Herramienta de detección de ataques escrita en Python.
• Awesome Event IDs - Colección de recursos de Event ID útiles para el análisis forense digital y la respuesta a incidentes
• Chainsaw - Otra herramienta de detección de ataques basada en sigma escrita en Rust.
• DeepBlueCLI - Herramienta de detección de ataques escrita en Powershell por Eric Conrad.
• Epagneul - Visualización de grafos para registros de eventos de Windows.
• EventList - Asigna los Event ID de las líneas base de seguridad a MITRE ATT&CK por Miriam Wiesner.
• Mapping MITRE ATT&CK with Window Event Log IDs - por Michel de CREVOISIER
• EvtxECmd - Analizador de Evtx por Eric Zimmerman.
• EVTXtract - Recupera archivos de registro EVTX del espacio no asignado y de imágenes de memoria.
• EvtxToElk - Herramienta de Python para enviar datos de Evtx a Elastic Stack.
• EVTX ATTACK Samples - Archivos de registro de eventos de ejemplo de ataques EVTX por SBousseaden.
• EVTX-to-MITRE-Attack - Archivos de registro de eventos de ejemplo de ataques EVTX asignados a ATT&CK por Michel de CREVOISIER
• EVTX parser - la biblioteca evtx de Rust que utilizamos, escrita por @OBenamram.
• Grafiki - Visualizador de registros de Sysmon y PowerShell.
• LogonTracer - Una interfaz gráfica para visualizar inicios de sesión y detectar movimiento lateral por JPCERTCC.
• NSA Windows Event Monitoring Guidance - La guía de la NSA sobre qué supervisar.
• RustyBlue - Adaptación de DeepBlueCLI a Rust por Yamato Security.
• Sigma - Reglas SIEM genéricas basadas en la comunidad.
• SOF-ELK - Una máquina virtual preempaquetada con Elastic Stack para importar datos para análisis DFIR por Phil Hagen
• so-import-evtx - Importa archivos evtx a Security Onion.
• SysmonTools - Herramienta de configuración y visualización de registros sin conexión para Sysmon.
• Timeline Explorer - El mejor analizador de líneas de tiempo CSV por Eric Zimmerman.
• Windows Event Log Analysis - Analyst Reference - por Steve Anson de Forward Defense.
• Zircolite - Herramienta de detección de ataques basada en Sigma escrita en Python.