Proyectos y ecosistema¶
Proyectos complementarios¶
- EnableWindowsLogSettings - Documentación y scripts para habilitar correctamente los registros de eventos de Windows.
- Hayabusa Encoded Rules - Igual que el repositorio Hayabusa Rules, pero las reglas y los archivos de configuración se almacenan en un único archivo y se cifran con XOR para evitar falsos positivos por parte de los antivirus.
- Hayabusa Rules - Reglas de detección de Hayabusa y reglas Sigma seleccionadas que utiliza Hayabusa.
- Hayabusa EVTX - Un fork más mantenido del crate
evtx. - Hayabusa Sample EVTXs - Archivos evtx de ejemplo para usar en la prueba de las reglas de detección de hayabusa/sigma.
- Presentations - Presentaciones de las charlas que hemos dado sobre nuestras herramientas y recursos.
- Sigma to Hayabusa Converter - Adapta las reglas Sigma originales basadas en registros de eventos de Windows a una forma más fácil de usar.
- Takajo - Un analizador para los resultados de hayabusa.
- WELA (Windows Event Log Analyzer) - Un analizador de registros de eventos de Windows escrito en PowerShell. (Obsoleto y reemplazado por Takajo).
Proyectos de terceros que usan Hayabusa¶
- AllthingsTimesketch - Un flujo de trabajo de NodeRED que importa resultados de Plaso y Hayabusa a Timesketch.
- LimaCharlie - Proporciona herramientas e infraestructura de seguridad basadas en la nube que se adaptan a tus necesidades.
- OpenRelik - Una plataforma de código abierto (Apache-2.0) diseñada para agilizar las investigaciones forenses digitales colaborativas.
- Splunk4DFIR - Pon en marcha rápidamente una instancia de splunk con Docker para examinar registros y la salida de herramientas durante tus investigaciones.
- Velociraptor - Una herramienta para recopilar información de estado basada en hosts mediante consultas de The Velociraptor Query Language (VQL).
Otros analizadores de registros de eventos de Windows y recursos relacionados¶
- APT-Hunter - Herramienta de detección de ataques escrita en Python.
- Awesome Event IDs - Colección de recursos de Event ID útiles para el análisis forense digital y la respuesta a incidentes
- Chainsaw - Otra herramienta de detección de ataques basada en sigma escrita en Rust.
- DeepBlueCLI - Herramienta de detección de ataques escrita en Powershell por Eric Conrad.
- Epagneul - Visualización de grafos para registros de eventos de Windows.
- EventList - Asigna los Event ID de las líneas base de seguridad a MITRE ATT&CK por Miriam Wiesner.
- Mapping MITRE ATT&CK with Window Event Log IDs - por Michel de CREVOISIER
- EvtxECmd - Analizador de Evtx por Eric Zimmerman.
- EVTXtract - Recupera archivos de registro EVTX del espacio no asignado y de imágenes de memoria.
- EvtxToElk - Herramienta de Python para enviar datos de Evtx a Elastic Stack.
- EVTX ATTACK Samples - Archivos de registro de eventos de ejemplo de ataques EVTX por SBousseaden.
- EVTX-to-MITRE-Attack - Archivos de registro de eventos de ejemplo de ataques EVTX asignados a ATT&CK por Michel de CREVOISIER
- EVTX parser - la biblioteca evtx de Rust que utilizamos, escrita por @OBenamram.
- Grafiki - Visualizador de registros de Sysmon y PowerShell.
- LogonTracer - Una interfaz gráfica para visualizar inicios de sesión y detectar movimiento lateral por JPCERTCC.
- NSA Windows Event Monitoring Guidance - La guía de la NSA sobre qué supervisar.
- RustyBlue - Adaptación de DeepBlueCLI a Rust por Yamato Security.
- Sigma - Reglas SIEM genéricas basadas en la comunidad.
- SOF-ELK - Una máquina virtual preempaquetada con Elastic Stack para importar datos para análisis DFIR por Phil Hagen
- so-import-evtx - Importa archivos evtx a Security Onion.
- SysmonTools - Herramienta de configuración y visualización de registros sin conexión para Sysmon.
- Timeline Explorer - El mejor analizador de líneas de tiempo CSV por Eric Zimmerman.
- Windows Event Log Analysis - Analyst Reference - por Steve Anson de Forward Defense.
- Zircolite - Herramienta de detección de ataques basada en Sigma escrita en Python.