Projets et écosystème

Projets associés

• EnableWindowsLogSettings - Documentation et scripts pour activer correctement les journaux d'événements Windows.
• Hayabusa Encoded Rules - Identique au dépôt Hayabusa Rules, mais les règles et les fichiers de configuration sont stockés dans un seul fichier et passés par XOR afin d'éviter les faux positifs des antivirus.
• Hayabusa Rules - Règles de détection Hayabusa et règles Sigma sélectionnées utilisées par Hayabusa.
• Hayabusa EVTX - Un fork mieux maintenu de la crate evtx.
• Hayabusa Sample EVTXs - Exemples de fichiers evtx à utiliser pour tester les règles de détection hayabusa/sigma.
• Presentations - Présentations issues de conférences que nous avons données sur nos outils et ressources.
• Sigma to Hayabusa Converter - Transforme les règles Sigma basées sur les journaux d'événements Windows en amont sous une forme plus facile à utiliser.
• Takajo - Un analyseur pour les résultats de hayabusa.
• WELA (Windows Event Log Analyzer) - Un analyseur de journaux d'événements Windows écrit en PowerShell. (Obsolète et remplacé par Takajo.)

Projets tiers utilisant Hayabusa

• AllthingsTimesketch - Un workflow NodeRED qui importe les résultats de Plaso et Hayabusa dans Timesketch.
• LimaCharlie - Fournit des outils et une infrastructure de sécurité basés sur le cloud, adaptés à vos besoins.
• OpenRelik - Une plateforme open source (Apache-2.0) conçue pour faciliter les investigations forensiques numériques collaboratives.
• Splunk4DFIR - Déployez rapidement une instance splunk avec Docker pour parcourir les journaux et les sorties d'outils pendant vos investigations.
• Velociraptor - Un outil de collecte d'informations d'état basées sur l'hôte à l'aide de requêtes The Velociraptor Query Language (VQL).

Autres analyseurs de journaux d'événements Windows et ressources connexes

• APT-Hunter - Outil de détection d'attaques écrit en Python.
• Awesome Event IDs - Collection de ressources sur les Event ID utiles pour la criminalistique numérique et la réponse aux incidents
• Chainsaw - Un autre outil de détection d'attaques basé sur sigma écrit en Rust.
• DeepBlueCLI - Outil de détection d'attaques écrit en Powershell par Eric Conrad.
• Epagneul - Visualisation graphique des journaux d'événements Windows.
• EventList - Met en correspondance les ID d'événements de référence de sécurité avec MITRE ATT&CK par Miriam Wiesner.
• Mapping MITRE ATT&CK with Window Event Log IDs - par Michel de CREVOISIER
• EvtxECmd - Analyseur Evtx par Eric Zimmerman.
• EVTXtract - Récupère les fichiers journaux EVTX à partir de l'espace non alloué et des images mémoire.
• EvtxToElk - Outil Python pour envoyer des données Evtx vers Elastic Stack.
• EVTX ATTACK Samples - Exemples de fichiers journaux d'événements d'attaque EVTX par SBousseaden.
• EVTX-to-MITRE-Attack - Exemples de fichiers journaux d'événements d'attaque EVTX mis en correspondance avec ATT&CK par Michel de CREVOISIER
• EVTX parser - la bibliothèque evtx en Rust que nous utilisons, écrite par @OBenamram.
• Grafiki - Visualiseur de journaux Sysmon et PowerShell.
• LogonTracer - Une interface graphique pour visualiser les connexions afin de détecter les déplacements latéraux par JPCERTCC.
• NSA Windows Event Monitoring Guidance - Le guide de la NSA sur ce qu'il faut surveiller.
• RustyBlue - Portage en Rust de DeepBlueCLI par Yamato Security.
• Sigma - Règles SIEM génériques basées sur la communauté.
• SOF-ELK - Une VM préconfigurée avec Elastic Stack pour importer des données à des fins d'analyse DFIR par Phil Hagen
• so-import-evtx - Importe des fichiers evtx dans Security Onion.
• SysmonTools - Outil de configuration et de visualisation hors ligne des journaux pour Sysmon.
• Timeline Explorer - Le meilleur analyseur de chronologie CSV par Eric Zimmerman.
• Windows Event Log Analysis - Analyst Reference - par Steve Anson de Forward Defense.
• Zircolite - Outil de détection d'attaques basé sur Sigma écrit en Python.