ข้ามไปที่เนื้อหา

คุณสมบัติ

  • รองรับการทำงานข้ามแพลตฟอร์ม: Windows, Linux, macOS
  • พัฒนาด้วย Rust เพื่อความปลอดภัยของหน่วยความจำและความเร็ว
  • รองรับการทำงานแบบหลายเธรด มอบการเพิ่มความเร็วได้สูงสุดถึง 5 เท่า
  • สร้างไทม์ไลน์เดียวที่วิเคราะห์ได้ง่ายสำหรับการสืบสวนทางนิติวิทยาศาสตร์และการตอบสนองต่อเหตุการณ์
  • การล่าภัยคุกคาม (threat hunting) โดยอ้างอิงจากลายเซ็น IoC ที่เขียนด้วยกฎ hayabusa แบบ YML ซึ่งอ่าน/สร้าง/แก้ไขได้ง่าย
  • รองรับกฎ Sigma เพื่อแปลงกฎ sigma เป็นกฎ hayabusa
  • ปัจจุบันรองรับกฎ sigma ได้มากที่สุดเมื่อเทียบกับเครื่องมืออื่นที่คล้ายกัน และยังรองรับกฎแบบนับ (count rules) และตัวรวมกลุ่ม (aggregators) ใหม่ ๆ เช่น |equalsfield และ |endswithfield
  • เมตริกของคอมพิวเตอร์ (มีประโยชน์สำหรับการกรองคอมพิวเตอร์บางเครื่องที่มีเหตุการณ์จำนวนมากเข้าหรือออก)
  • เมตริกของ Event ID (มีประโยชน์สำหรับการมองภาพรวมว่ามีเหตุการณ์ประเภทใดบ้าง และสำหรับการปรับแต่งการตั้งค่าบันทึกของคุณ)
  • การกำหนดค่าปรับแต่งกฎโดยการยกเว้นกฎที่ไม่จำเป็นหรือกฎที่มีสัญญาณรบกวน
  • การแมปกลยุทธ์ (tactics) ของ MITRE ATT&CK
  • การปรับแต่งระดับของกฎ
  • สร้างรายการคำสำคัญสำหรับ pivot ที่ไม่ซ้ำกันเพื่อระบุผู้ใช้ ชื่อโฮสต์ กระบวนการ ฯลฯ ที่ผิดปกติได้อย่างรวดเร็ว รวมถึงการเชื่อมโยงเหตุการณ์
  • แสดงผลทุกฟิลด์เพื่อการสืบสวนที่ละเอียดมากขึ้น
  • สรุปการเข้าสู่ระบบที่สำเร็จและล้มเหลว
  • การล่าภัยคุกคามและงาน DFIR ทั่วทั้งองค์กรบนทุกเอนด์พอยต์ด้วย Velociraptor
  • แสดงผลเป็นรายงานสรุปแบบ CSV, JSON/JSONL และ HTML
  • อัปเดตกฎ Sigma รายวัน
  • รองรับการนำเข้าบันทึกในรูปแบบ JSON
  • การทำให้ฟิลด์ของบันทึกเป็นมาตรฐาน (การแปลงฟิลด์หลายฟิลด์ที่มีรูปแบบการตั้งชื่อต่างกันให้เป็นชื่อฟิลด์เดียวกัน)
  • การเสริมข้อมูลบันทึกโดยการเพิ่มข้อมูล GeoIP (ASN, เมือง, ประเทศ) ให้กับที่อยู่ IP
  • ค้นหาทุกเหตุการณ์ด้วยคำสำคัญหรือนิพจน์ปกติ (regular expressions)
  • การแมปข้อมูลฟิลด์ (ตัวอย่าง: 0xc0000234 -> ACCOUNT LOCKED)
  • การแกะ (carving) ระเบียน evtx จากพื้นที่ slack ของ evtx
  • การกำจัดเหตุการณ์ที่ซ้ำกันเมื่อแสดงผล (มีประโยชน์เมื่อเปิดใช้งานการกู้คืนระเบียน หรือเมื่อคุณรวมไฟล์ evtx ที่สำรองไว้, ไฟล์ evtx จาก VSS ฯลฯ)
  • ตัวช่วย (wizard) ในการตั้งค่าการสแกนเพื่อช่วยเลือกว่าจะเปิดใช้งานกฎใดได้ง่ายขึ้น (เพื่อลดผลบวกลวง ฯลฯ)
  • การแยกวิเคราะห์และดึงข้อมูลฟิลด์ของบันทึก PowerShell แบบคลาสสิก
  • การใช้หน่วยความจำต่ำ (หมายเหตุ: ทำได้โดยไม่เรียงลำดับผลลัพธ์ เหมาะที่สุดสำหรับการรันบนเอเจนต์หรือข้อมูลขนาดใหญ่)
  • การกรองบน Channels และ Rules เพื่อประสิทธิภาพที่ดีที่สุด
  • ตรวจจับ ดึงข้อมูล และถอดรหัสสตริง Base64 ที่พบในบันทึก
  • การปรับระดับการแจ้งเตือนตามระบบที่สำคัญ