เกี่ยวกับ Hayabusa

Hayabusa เป็น เครื่องมือสร้างไทม์ไลน์นิติวิทยาศาสตร์อย่างรวดเร็วสำหรับบันทึกเหตุการณ์ของ Windows (Windows event log fast forensics timeline generator) และ เครื่องมือล่าภัยคุกคาม (threat hunting tool) ที่สร้างขึ้นโดยกลุ่ม Yamato Security ในประเทศญี่ปุ่น Hayabusa มีความหมายว่า "เหยี่ยวเพเรกริน" ในภาษาญี่ปุ่น และถูกเลือกใช้เนื่องจากเหยี่ยวเพเรกรินเป็นสัตว์ที่เร็วที่สุดในโลก เก่งในการล่าเหยื่อ และฝึกฝนได้ดีเยี่ยม มันถูกเขียนด้วย Rust ที่ปลอดภัยต่อหน่วยความจำ รองรับการทำงานแบบมัลติเธรดเพื่อให้รวดเร็วที่สุดเท่าที่จะเป็นไปได้ และเป็นเครื่องมือโอเพนซอร์สเพียงหนึ่งเดียวที่รองรับข้อกำหนดของ Sigma อย่างเต็มรูปแบบ รวมถึงกฎ correlation เวอร์ชัน v2 Hayabusa สามารถจัดการการแยกวิเคราะห์กฎ upstream Sigma ได้ อย่างไรก็ตาม กฎ Sigma ที่เราใช้และโฮสต์ไว้ใน hayabusa-rules repository ได้ผ่านการแปลงบางอย่างเพื่อให้การโหลดกฎมีความยืดหยุ่นมากขึ้นและลดผลบวกลวง (false positives) คุณสามารถอ่านรายละเอียดเกี่ยวกับเรื่องนี้ได้ที่ไฟล์ README ของ sigma-to-hayabusa-converter repository Hayabusa สามารถรันได้ทั้งบนระบบที่กำลังทำงานอยู่เครื่องเดียวสำหรับการวิเคราะห์แบบสด, โดยการรวบรวมบันทึกจากระบบเดียวหรือหลายระบบสำหรับการวิเคราะห์แบบออฟไลน์, หรือโดยการรัน Hayabusa artifact ด้วย Velociraptor สำหรับการล่าภัยคุกคามและการตอบสนองต่อเหตุการณ์ทั่วทั้งองค์กร ผลลัพธ์จะถูกรวมเข้าด้วยกันเป็นไทม์ไลน์ CSV/JSON/JSONL เดียวเพื่อให้วิเคราะห์ได้ง่ายใน LibreOffice, Timeline Explorer Elastic Stack, Timesketch, ฯลฯ...