Pular para conteúdo

Sobre o Hayabusa

O Hayabusa é um gerador rápido de linha do tempo para análise forense de registros de eventos do Windows e uma ferramenta de caça a ameaças criado pelo grupo Yamato Security no Japão. Hayabusa significa "falcão-peregrino" em japonês e foi escolhido porque os falcões-peregrinos são os animais mais rápidos do mundo, excelentes na caça e altamente treináveis. Ele é escrito na linguagem Rust, com segurança de memória, e oferece suporte a multithreading para ser o mais rápido possível, sendo a única ferramenta de código aberto com suporte completo à especificação Sigma, incluindo as regras de correlação v2. O Hayabusa consegue processar as regras Sigma originais, porém, as regras Sigma que utilizamos e hospedamos no repositório hayabusa-rules passam por algumas conversões para tornar o carregamento de regras mais flexível e reduzir os falsos positivos. Você pode ler os detalhes sobre isso no arquivo README do repositório sigma-to-hayabusa-converter. O Hayabusa pode ser executado tanto em sistemas em funcionamento isolados para análise ao vivo, coletando registros de um ou vários sistemas para análise offline, quanto executando o artefato Hayabusa com o Velociraptor para caça a ameaças e resposta a incidentes em toda a empresa. A saída será consolidada em uma única linha do tempo em CSV/JSON/JSONL para facilitar a análise no LibreOffice, Timeline Explorer Elastic Stack, Timesketch, etc...