Projets et écosystème¶
Projets associés¶
- EnableWindowsLogSettings - Documentation et scripts pour activer correctement les journaux d'événements Windows.
- Hayabusa Encoded Rules - Identique au dépôt Hayabusa Rules, mais les règles et les fichiers de configuration sont stockés dans un seul fichier et passés par XOR afin d'éviter les faux positifs des antivirus.
- Hayabusa Rules - Règles de détection Hayabusa et règles Sigma sélectionnées utilisées par Hayabusa.
- Hayabusa EVTX - Un fork mieux maintenu de la crate
evtx. - Hayabusa Sample EVTXs - Exemples de fichiers evtx à utiliser pour tester les règles de détection hayabusa/sigma.
- Presentations - Présentations issues de conférences que nous avons données sur nos outils et ressources.
- Sigma to Hayabusa Converter - Transforme les règles Sigma basées sur les journaux d'événements Windows en amont sous une forme plus facile à utiliser.
- Takajo - Un analyseur pour les résultats de hayabusa.
- WELA (Windows Event Log Analyzer) - Un analyseur de journaux d'événements Windows écrit en PowerShell. (Obsolète et remplacé par Takajo.)
Projets tiers utilisant Hayabusa¶
- AllthingsTimesketch - Un workflow NodeRED qui importe les résultats de Plaso et Hayabusa dans Timesketch.
- LimaCharlie - Fournit des outils et une infrastructure de sécurité basés sur le cloud, adaptés à vos besoins.
- OpenRelik - Une plateforme open source (Apache-2.0) conçue pour faciliter les investigations forensiques numériques collaboratives.
- Splunk4DFIR - Déployez rapidement une instance splunk avec Docker pour parcourir les journaux et les sorties d'outils pendant vos investigations.
- Velociraptor - Un outil de collecte d'informations d'état basées sur l'hôte à l'aide de requêtes The Velociraptor Query Language (VQL).
Autres analyseurs de journaux d'événements Windows et ressources connexes¶
- APT-Hunter - Outil de détection d'attaques écrit en Python.
- Awesome Event IDs - Collection de ressources sur les Event ID utiles pour la criminalistique numérique et la réponse aux incidents
- Chainsaw - Un autre outil de détection d'attaques basé sur sigma écrit en Rust.
- DeepBlueCLI - Outil de détection d'attaques écrit en Powershell par Eric Conrad.
- Epagneul - Visualisation graphique des journaux d'événements Windows.
- EventList - Met en correspondance les ID d'événements de référence de sécurité avec MITRE ATT&CK par Miriam Wiesner.
- Mapping MITRE ATT&CK with Window Event Log IDs - par Michel de CREVOISIER
- EvtxECmd - Analyseur Evtx par Eric Zimmerman.
- EVTXtract - Récupère les fichiers journaux EVTX à partir de l'espace non alloué et des images mémoire.
- EvtxToElk - Outil Python pour envoyer des données Evtx vers Elastic Stack.
- EVTX ATTACK Samples - Exemples de fichiers journaux d'événements d'attaque EVTX par SBousseaden.
- EVTX-to-MITRE-Attack - Exemples de fichiers journaux d'événements d'attaque EVTX mis en correspondance avec ATT&CK par Michel de CREVOISIER
- EVTX parser - la bibliothèque evtx en Rust que nous utilisons, écrite par @OBenamram.
- Grafiki - Visualiseur de journaux Sysmon et PowerShell.
- LogonTracer - Une interface graphique pour visualiser les connexions afin de détecter les déplacements latéraux par JPCERTCC.
- NSA Windows Event Monitoring Guidance - Le guide de la NSA sur ce qu'il faut surveiller.
- RustyBlue - Portage en Rust de DeepBlueCLI par Yamato Security.
- Sigma - Règles SIEM génériques basées sur la communauté.
- SOF-ELK - Une VM préconfigurée avec Elastic Stack pour importer des données à des fins d'analyse DFIR par Phil Hagen
- so-import-evtx - Importe des fichiers evtx dans Security Onion.
- SysmonTools - Outil de configuration et de visualisation hors ligne des journaux pour Sysmon.
- Timeline Explorer - Le meilleur analyseur de chronologie CSV par Eric Zimmerman.
- Windows Event Log Analysis - Analyst Reference - par Steve Anson de Forward Defense.
- Zircolite - Outil de détection d'attaques basé sur Sigma écrit en Python.