मुख्य लक्ष्य¶
थ्रेट हंटिंग और एंटरप्राइज़-व्यापी DFIR¶
Hayabusa के पास वर्तमान में 4000 से अधिक Sigma नियम और 170 से अधिक Hayabusa अंतर्निहित पहचान नियम हैं, और नियमित रूप से और अधिक नियम जोड़े जा रहे हैं। इसका उपयोग एंटरप्राइज़-व्यापी सक्रिय थ्रेट हंटिंग के साथ-साथ Velociraptor के Hayabusa artifact के साथ मुफ़्त में DFIR (डिजिटल फ़ोरेंसिक्स और इंसिडेंट रिस्पॉन्स) के लिए किया जा सकता है। इन दो ओपन-सोर्स टूल को मिलाकर, जब वातावरण में कोई SIEM सेटअप नहीं होता है, तब आप अनिवार्य रूप से पूर्वव्यापी रूप से एक SIEM को पुनः उत्पन्न कर सकते हैं। आप यह कैसे करें, यह Eric Capuano के Velociraptor वॉकथ्रू को यहाँ देखकर सीख सकते हैं।
तेज़ फ़ोरेंसिक्स टाइमलाइन निर्माण¶
Windows इवेंट लॉग विश्लेषण पारंपरिक रूप से एक बहुत लंबी और थकाऊ प्रक्रिया रही है क्योंकि Windows इवेंट लॉग 1) ऐसे डेटा प्रारूप में होते हैं जिनका विश्लेषण करना कठिन है और 2) अधिकांश डेटा शोर होता है और जाँच के लिए उपयोगी नहीं होता। Hayabusa का लक्ष्य केवल उपयोगी डेटा निकालना और इसे यथासंभव संक्षिप्त, पढ़ने में आसान प्रारूप में प्रस्तुत करना है जो न केवल पेशेवर रूप से प्रशिक्षित विश्लेषकों द्वारा बल्कि किसी भी Windows सिस्टम प्रशासक द्वारा उपयोग योग्य हो। Hayabusa को उम्मीद है कि पारंपरिक Windows इवेंट लॉग विश्लेषण की तुलना में विश्लेषकों को उनका 80% कार्य 20% समय में पूरा करने में सक्षम बनाएगा।
