เป้าหมายหลัก

การล่าภัยคุกคามและ DFIR ทั่วทั้งองค์กร

ปัจจุบัน Hayabusa มีกฎ Sigma มากกว่า 4000 กฎ และกฎตรวจจับในตัวของ Hayabusa มากกว่า 170 กฎ โดยมีการเพิ่มกฎใหม่อย่างสม่ำเสมอ สามารถใช้สำหรับการล่าภัยคุกคามเชิงรุกทั่วทั้งองค์กร รวมถึง DFIR (Digital Forensics and Incident Response) ได้ฟรีด้วย Hayabusa artifact ของ Velociraptor ด้วยการรวมเครื่องมือโอเพนซอร์สทั้งสองนี้เข้าด้วยกัน คุณสามารถจำลอง SIEM ย้อนหลังได้โดยพื้นฐานเมื่อไม่มีการตั้งค่า SIEM ในสภาพแวดล้อมนั้น คุณสามารถเรียนรู้วิธีการทำสิ่งนี้ได้โดยการชมคำแนะนำการใช้งาน Velociraptor ของ Eric Capuano ที่นี่

การสร้างไทม์ไลน์ฟอเรนสิกอย่างรวดเร็ว

การวิเคราะห์ Windows event log นั้นโดยปกติแล้วเป็นกระบวนการที่ยาวนานและน่าเบื่อมาก เนื่องจาก Windows event log นั้น 1) อยู่ในรูปแบบข้อมูลที่วิเคราะห์ได้ยาก และ 2) ข้อมูลส่วนใหญ่เป็นสัญญาณรบกวนและไม่มีประโยชน์สำหรับการสืบสวน เป้าหมายของ Hayabusa คือการดึงเฉพาะข้อมูลที่มีประโยชน์ออกมาและนำเสนอในรูปแบบที่กระชับและอ่านง่ายที่สุดเท่าที่จะเป็นไปได้ ซึ่งใช้งานได้ไม่เพียงแต่โดยนักวิเคราะห์ที่ผ่านการฝึกอบรมอย่างมืออาชีพเท่านั้น แต่ยังรวมถึงผู้ดูแลระบบ Windows ทุกคนด้วย Hayabusa หวังที่จะให้นักวิเคราะห์ทำงานเสร็จ 80% ในเวลาเพียง 20% เมื่อเปรียบเทียบกับการวิเคราะห์ Windows event log แบบดั้งเดิม