Projetos e Ecossistema

Projetos Complementares

• EnableWindowsLogSettings - Documentação e scripts para habilitar corretamente os registros de eventos do Windows.
• Hayabusa Encoded Rules - O mesmo que o repositório Hayabusa Rules, mas as regras e os arquivos de configuração são armazenados em um único arquivo e submetidos a XOR para evitar falsos positivos de antivírus.
• Hayabusa Rules - Regras de detecção Hayabusa e regras Sigma selecionadas usadas pelo Hayabusa.
• Hayabusa EVTX - Um fork mais mantido do crate evtx.
• Hayabusa Sample EVTXs - Arquivos evtx de exemplo para usar nos testes das regras de detecção hayabusa/sigma.
• Presentations - Apresentações de palestras que demos sobre nossas ferramentas e recursos.
• Sigma to Hayabusa Converter - Adapta regras Sigma baseadas em registros de eventos do Windows upstream para um formato mais fácil de usar.
• Takajo - Um analisador para os resultados do hayabusa.
• WELA (Windows Event Log Analyzer) - Um analisador de registros de eventos do Windows escrito em PowerShell. (Descontinuado e substituído pelo Takajo.)

Projetos de Terceiros Que Usam o Hayabusa

• AllthingsTimesketch - Um fluxo de trabalho NodeRED que importa resultados do Plaso e do Hayabusa para o Timesketch.
• LimaCharlie - Fornece ferramentas e infraestrutura de segurança baseadas em nuvem para atender às suas necessidades.
• OpenRelik - Uma plataforma de código aberto (Apache-2.0) projetada para agilizar investigações forenses digitais colaborativas.
• Splunk4DFIR - Crie rapidamente uma instância do splunk com Docker para navegar pelos logs e pela saída de ferramentas durante suas investigações.
• Velociraptor - Uma ferramenta para coletar informações de estado baseadas em host usando consultas da The Velociraptor Query Language (VQL).

Outros Analisadores de Registros de Eventos do Windows e Recursos Relacionados

• APT-Hunter - Ferramenta de detecção de ataques escrita em Python.
• Awesome Event IDs - Coleção de recursos sobre Event ID úteis para Forense Digital e Resposta a Incidentes
• Chainsaw - Outra ferramenta de detecção de ataques baseada em sigma escrita em Rust.
• DeepBlueCLI - Ferramenta de detecção de ataques escrita em Powershell por Eric Conrad.
• Epagneul - Visualização em grafo para registros de eventos do Windows.
• EventList - Mapeia os event IDs da baseline de segurança para o MITRE ATT&CK por Miriam Wiesner.
• Mapping MITRE ATT&CK with Window Event Log IDs - por Michel de CREVOISIER
• EvtxECmd - Parser de evtx por Eric Zimmerman.
• EVTXtract - Recupera arquivos de log EVTX de espaço não alocado e imagens de memória.
• EvtxToElk - Ferramenta em Python para enviar dados de Evtx para o Elastic Stack.
• EVTX ATTACK Samples - Arquivos de registro de eventos de exemplo de ataques EVTX por SBousseaden.
• EVTX-to-MITRE-Attack - Arquivos de registro de eventos de exemplo de ataques EVTX mapeados para o ATT&CK por Michel de CREVOISIER
• EVTX parser - a biblioteca evtx em Rust que usamos, escrita por @OBenamram.
• Grafiki - Visualizador de logs do Sysmon e do PowerShell.
• LogonTracer - Uma interface gráfica para visualizar logons e detectar movimentação lateral por JPCERTCC.
• NSA Windows Event Monitoring Guidance - Guia da NSA sobre o que monitorar.
• RustyBlue - Port em Rust do DeepBlueCLI pela Yamato Security.
• Sigma - Regras SIEM genéricas baseadas na comunidade.
• SOF-ELK - Uma VM pré-empacotada com Elastic Stack para importar dados para análise DFIR por Phil Hagen
• so-import-evtx - Importa arquivos evtx para o Security Onion.
• SysmonTools - Ferramenta de configuração e visualização off-line de logs para o Sysmon.
• Timeline Explorer - O melhor analisador de timeline em CSV por Eric Zimmerman.
• Windows Event Log Analysis - Analyst Reference - por Steve Anson da Forward Defense.
• Zircolite - Ferramenta de detecção de ataques baseada em Sigma escrita em Python.