À propos de Hayabusa

Hayabusa est un générateur rapide de chronologie d'investigation des journaux d'événements Windows et un outil de chasse aux menaces créé par le groupe Yamato Security au Japon. Hayabusa signifie "faucon pèlerin" en japonais et a été choisi parce que les faucons pèlerins sont les animaux les plus rapides au monde, excellents chasseurs et très faciles à dresser. Il est écrit dans le langage Rust à mémoire sûre, prend en charge le multi-threading afin d'être aussi rapide que possible et est le seul outil open-source à prendre entièrement en charge la spécification Sigma, y compris les règles de corrélation v2. Hayabusa peut gérer l'analyse des règles Sigma en amont, cependant, les règles Sigma que nous utilisons et hébergeons dans le dépôt hayabusa-rules ont subi quelques conversions afin de rendre le chargement des règles plus flexible et de réduire les faux positifs. Vous pouvez en lire les détails dans le fichier README du dépôt sigma-to-hayabusa-converter. Hayabusa peut être exécuté soit sur des systèmes individuels en cours d'exécution pour une analyse en direct, en collectant les journaux d'un ou plusieurs systèmes pour une analyse hors ligne, soit en exécutant l'artefact Hayabusa avec Velociraptor pour une chasse aux menaces et une réponse aux incidents à l'échelle de l'entreprise. La sortie sera regroupée dans une seule chronologie CSV/JSON/JSONL pour une analyse facile dans LibreOffice, Timeline Explorer Elastic Stack, Timesketch, etc...