コンテンツにスキップ

特徴&機能

  • クロスプラットフォーム対応: Windows, Linux, macOS。
  • Rustで開発され、メモリセーフでハヤブサよりも高速です!
  • マルチスレッド対応により、最大5倍のスピードアップを実現。
  • フォレンジック調査やインシデントレスポンスのために、分析しやすいCSVタイムラインを作成します。
  • 読みやすい/作成/編集可能なYMLベースのHayabusaルールで作成されたIoCシグネチャに基づくスレットハンティング。
  • SigmaルールをHayabusaルールに変換するためのSigmaルールのサポートがされています。
  • 現在、他の類似ツールに比べ最も多くのSigmaルールをサポートしており、カウントルール、新しい機能の|equalsfield|endswithfield等にも対応しています。
  • コンピュータ名の統計。(イベントの多い特定のコンピュータをフィルタリングするのに便利です。)
  • イベントログの統計。(どのような種類のイベントがあるのかを把握し、ログ設定のチューニングに有効です。)
  • 不良ルールやノイズの多いルールを除外するルールチューニング設定が可能です。
  • MITRE ATT&CKとのマッピング。
  • ルールレベルのチューニング。
  • イベントログから不審なユーザやファイルを素早く特定するためのピボットキーワードの一覧作成。
  • 詳細な調査のために全フィールド情報の出力。
  • 成功と失敗したユーザログオンの要約。
  • Velociraptorと組み合わせた企業向けの広範囲なすべてのエンドポイントに対するスレットハンティングとDFIR。
  • CSV、JSON、JSONL形式とHTML結果サマリの出力。
  • 毎日のSigmaルール更新。
  • JSON形式のログ入力にも対応。
  • ログフィールドの正規化
  • IPアドレスにGeoIP(ASN、都市、国)情報を付加することによるログエンリッチメント。
  • キーワードや正規表現で全イベントの検索。
  • フィールドデータのマッピング (例: 0xc0000234 -> ACCOUNT LOCKED)
  • 空領域からのEvtxレコードカービング。
  • 出力時のイベント重複排除。(レコード復元が有効になっている場合や、バックアップされたevtxファイル、VSSから抽出されたevtxファイルなどが含まれている場合に便利。)
  • スキャン設定ウィザードにより、有効にするルールの選択が容易に。(誤検出を減らすためなど。)
  • PowerShell classicログのフィールドパースと抽出。
  • 低メモリモード。(注意: 結果をソートしないことで可能。エージェントやビッグデータでの実行に適している。)
  • チャンネルとルールのフィルタリングによって最も効率的なパフォーマンスを達成する。
  • ログに含まれるBase64文字列を検出、抽出、デコードする。
  • 重要なシステムに基づくアラートレベルの調整。