विषय पर बढ़ें

विशेषताएं

  • क्रॉस-प्लेटफॉर्म समर्थन: Windows, Linux, macOS।
  • मेमोरी-सुरक्षित और तेज़ बनाने के लिए Rust में विकसित।
  • मल्टी-थ्रेड समर्थन जो 5 गुना तक गति सुधार प्रदान करता है।
  • फोरेंसिक जांच और घटना प्रतिक्रिया के लिए विश्लेषण में आसान एकल टाइमलाइन बनाता है।
  • आसानी से पढ़ने/बनाने/संपादित करने योग्य YML आधारित hayabusa नियमों में लिखे IoC सिग्नेचर पर आधारित खतरा शिकार (threat hunting)।
  • sigma नियमों को hayabusa नियमों में बदलने के लिए Sigma नियम समर्थन।
  • वर्तमान में यह अन्य समान उपकरणों की तुलना में सबसे अधिक sigma नियमों का समर्थन करता है और यहां तक कि गणना नियमों (count rules) और नए एग्रीगेटर जैसे |equalsfield और |endswithfield का भी समर्थन करता है।
  • कंप्यूटर मेट्रिक्स। (बड़ी संख्या में इवेंट वाले कुछ कंप्यूटरों को फ़िल्टर करने/हटाने के लिए उपयोगी।)
  • इवेंट ID मेट्रिक्स। (किस प्रकार के इवेंट हैं इसका चित्र प्राप्त करने और अपनी लॉग सेटिंग्स को ट्यून करने के लिए उपयोगी।)
  • अनावश्यक या शोरगुल वाले नियमों को बाहर करके नियम ट्यूनिंग कॉन्फ़िगरेशन।
  • रणनीति का MITRE ATT&CK मैपिंग।
  • नियम स्तर ट्यूनिंग।
  • असामान्य उपयोगकर्ताओं, होस्टनामों, प्रक्रियाओं आदि की त्वरित पहचान के साथ-साथ इवेंट को सहसंबंधित करने के लिए अद्वितीय पिवट कीवर्ड की सूची बनाएं।
  • अधिक गहन जांच के लिए सभी फ़ील्ड आउटपुट करें।
  • सफल और असफल लॉगऑन सारांश।
  • Velociraptor के साथ सभी एंडपॉइंट पर एंटरप्राइज-व्यापी खतरा शिकार और DFIR।
  • CSV, JSON/JSONL और HTML सारांश रिपोर्ट में आउटपुट।
  • दैनिक Sigma नियम अपडेट।
  • JSON-स्वरूपित लॉग इनपुट के लिए समर्थन।
  • लॉग फ़ील्ड सामान्यीकरण। (विभिन्न नामकरण परंपराओं वाले कई फ़ील्ड को एक ही फ़ील्ड नाम में बदलना।)
  • IP पतों में GeoIP (ASN, शहर, देश) जानकारी जोड़कर लॉग संवर्धन।
  • कीवर्ड या नियमित अभिव्यक्तियों के लिए सभी इवेंट खोजें।
  • फ़ील्ड डेटा मैपिंग। (उदा: 0xc0000234 -> ACCOUNT LOCKED)
  • evtx स्लैक स्पेस से evtx रिकॉर्ड कार्विंग।
  • आउटपुट करते समय इवेंट डी-डुप्लीकेशन। (जब रिकवरी रिकॉर्ड सक्षम हो या जब आप बैकअप किए गए evtx फ़ाइलें, VSS से evtx फ़ाइलें आदि शामिल करते हैं तो उपयोगी।)
  • किन नियमों को सक्षम करना है यह चुनने में आसानी के लिए स्कैन सेटिंग विज़ार्ड। (झूठे सकारात्मक आदि को कम करने के लिए...)
  • PowerShell क्लासिक लॉग फ़ील्ड पार्सिंग और निष्कर्षण।
  • कम मेमोरी उपयोग। (नोट: यह परिणामों को क्रमबद्ध न करके संभव है। एजेंट या बड़े डेटा पर चलाने के लिए सर्वोत्तम।)
  • सबसे कुशल प्रदर्शन के लिए Channels और Rules पर फ़िल्टरिंग।
  • लॉग में पाए गए Base64 स्ट्रिंग्स का पता लगाएं, निकालें और डिकोड करें।
  • महत्वपूर्ण सिस्टम के आधार पर अलर्ट स्तर समायोजन।