콘텐츠로 이동

기능

  • 크로스 플랫폼 지원: Windows, Linux, macOS.
  • 메모리 안전성과 빠른 속도를 위해 Rust로 개발됨.
  • 최대 5배의 속도 향상을 제공하는 멀티 스레드 지원.
  • 포렌식 조사 및 사고 대응을 위한 분석하기 쉬운 단일 타임라인 생성.
  • 읽기/생성/편집이 쉬운 YML 기반 hayabusa 규칙으로 작성된 IoC 시그니처 기반 위협 헌팅.
  • sigma 규칙을 hayabusa 규칙으로 변환하는 Sigma 규칙 지원.
  • 현재 다른 유사 도구들과 비교하여 가장 많은 sigma 규칙을 지원하며 count 규칙과 |equalsfield|endswithfield 같은 새로운 집계자(aggregator)도 지원함.
  • 컴퓨터 메트릭. (대량의 이벤트를 가진 특정 컴퓨터를 필터링하여 포함하거나 제외하는 데 유용함.)
  • Event ID 메트릭. (어떤 유형의 이벤트가 있는지 파악하고 로그 설정을 튜닝하는 데 유용함.)
  • 불필요하거나 노이즈가 많은 규칙을 제외하는 규칙 튜닝 구성.
  • MITRE ATT&CK 전술 매핑.
  • 규칙 레벨 튜닝.
  • 비정상적인 사용자, 호스트명, 프로세스 등을 빠르게 식별하고 이벤트를 상호 연관시키기 위한 고유 피벗 키워드 목록 생성.
  • 보다 철저한 조사를 위한 모든 필드 출력.
  • 성공 및 실패한 로그온 요약.
  • Velociraptor를 통한 모든 엔드포인트에서의 전사적 위협 헌팅 및 DFIR.
  • CSV, JSON/JSONL 및 HTML 요약 보고서로 출력.
  • 매일 Sigma 규칙 업데이트.
  • JSON 형식 로그 입력 지원.
  • 로그 필드 정규화. (서로 다른 명명 규칙을 가진 여러 필드를 동일한 필드 이름으로 변환.)
  • IP 주소에 GeoIP(ASN, 도시, 국가) 정보를 추가하는 로그 보강.
  • 키워드 또는 정규 표현식으로 모든 이벤트 검색.
  • 필드 데이터 매핑. (예: 0xc0000234 -> ACCOUNT LOCKED)
  • evtx slack 공간으로부터의 Evtx 레코드 카빙.
  • 출력 시 이벤트 중복 제거. (복구 레코드가 활성화되어 있거나 백업된 evtx 파일, VSS의 evtx 파일 등을 포함할 때 유용함.)
  • 어떤 규칙을 활성화할지 더 쉽게 선택하도록 돕는 스캔 설정 마법사. (오탐을 줄이기 위함 등...)
  • PowerShell 클래식 로그 필드 파싱 및 추출.
  • 낮은 메모리 사용량. (참고: 결과를 정렬하지 않음으로써 가능함. 에이전트나 빅데이터에서 실행하기에 가장 적합함.)
  • 가장 효율적인 성능을 위한 Channel 및 Rule 필터링.
  • 로그에서 발견된 Base64 문자열 탐지, 추출 및 디코딩.
  • 중요 시스템 기반의 경고 레벨 조정.