Projetos e Ecossistema¶
Projetos Complementares¶
- EnableWindowsLogSettings - Documentação e scripts para habilitar corretamente os registros de eventos do Windows.
- Hayabusa Encoded Rules - O mesmo que o repositório Hayabusa Rules, mas as regras e os arquivos de configuração são armazenados em um único arquivo e submetidos a XOR para evitar falsos positivos de antivírus.
- Hayabusa Rules - Regras de detecção Hayabusa e regras Sigma selecionadas usadas pelo Hayabusa.
- Hayabusa EVTX - Um fork mais mantido do crate
evtx. - Hayabusa Sample EVTXs - Arquivos evtx de exemplo para usar nos testes das regras de detecção hayabusa/sigma.
- Presentations - Apresentações de palestras que demos sobre nossas ferramentas e recursos.
- Sigma to Hayabusa Converter - Adapta regras Sigma baseadas em registros de eventos do Windows upstream para um formato mais fácil de usar.
- Takajo - Um analisador para os resultados do hayabusa.
- WELA (Windows Event Log Analyzer) - Um analisador de registros de eventos do Windows escrito em PowerShell. (Descontinuado e substituído pelo Takajo.)
Projetos de Terceiros Que Usam o Hayabusa¶
- AllthingsTimesketch - Um fluxo de trabalho NodeRED que importa resultados do Plaso e do Hayabusa para o Timesketch.
- LimaCharlie - Fornece ferramentas e infraestrutura de segurança baseadas em nuvem para atender às suas necessidades.
- OpenRelik - Uma plataforma de código aberto (Apache-2.0) projetada para agilizar investigações forenses digitais colaborativas.
- Splunk4DFIR - Crie rapidamente uma instância do splunk com Docker para navegar pelos logs e pela saída de ferramentas durante suas investigações.
- Velociraptor - Uma ferramenta para coletar informações de estado baseadas em host usando consultas da The Velociraptor Query Language (VQL).
Outros Analisadores de Registros de Eventos do Windows e Recursos Relacionados¶
- APT-Hunter - Ferramenta de detecção de ataques escrita em Python.
- Awesome Event IDs - Coleção de recursos sobre Event ID úteis para Forense Digital e Resposta a Incidentes
- Chainsaw - Outra ferramenta de detecção de ataques baseada em sigma escrita em Rust.
- DeepBlueCLI - Ferramenta de detecção de ataques escrita em Powershell por Eric Conrad.
- Epagneul - Visualização em grafo para registros de eventos do Windows.
- EventList - Mapeia os event IDs da baseline de segurança para o MITRE ATT&CK por Miriam Wiesner.
- Mapping MITRE ATT&CK with Window Event Log IDs - por Michel de CREVOISIER
- EvtxECmd - Parser de evtx por Eric Zimmerman.
- EVTXtract - Recupera arquivos de log EVTX de espaço não alocado e imagens de memória.
- EvtxToElk - Ferramenta em Python para enviar dados de Evtx para o Elastic Stack.
- EVTX ATTACK Samples - Arquivos de registro de eventos de exemplo de ataques EVTX por SBousseaden.
- EVTX-to-MITRE-Attack - Arquivos de registro de eventos de exemplo de ataques EVTX mapeados para o ATT&CK por Michel de CREVOISIER
- EVTX parser - a biblioteca evtx em Rust que usamos, escrita por @OBenamram.
- Grafiki - Visualizador de logs do Sysmon e do PowerShell.
- LogonTracer - Uma interface gráfica para visualizar logons e detectar movimentação lateral por JPCERTCC.
- NSA Windows Event Monitoring Guidance - Guia da NSA sobre o que monitorar.
- RustyBlue - Port em Rust do DeepBlueCLI pela Yamato Security.
- Sigma - Regras SIEM genéricas baseadas na comunidade.
- SOF-ELK - Uma VM pré-empacotada com Elastic Stack para importar dados para análise DFIR por Phil Hagen
- so-import-evtx - Importa arquivos evtx para o Security Onion.
- SysmonTools - Ferramenta de configuração e visualização off-line de logs para o Sysmon.
- Timeline Explorer - O melhor analisador de timeline em CSV por Eric Zimmerman.
- Windows Event Log Analysis - Analyst Reference - por Steve Anson da Forward Defense.
- Zircolite - Ferramenta de detecção de ataques baseada em Sigma escrita em Python.