ข้ามไปที่เนื้อหา

โครงการและระบบนิเวศ

โครงการที่เกี่ยวข้อง

  • EnableWindowsLogSettings - เอกสารและสคริปต์สำหรับเปิดใช้งาน Windows event logs อย่างถูกต้อง
  • Hayabusa Encoded Rules - เหมือนกับ repository ของ Hayabusa Rules แต่ไฟล์กฎและไฟล์ config ถูกเก็บไว้ในไฟล์เดียวและทำ XOR เพื่อป้องกัน false positive จากโปรแกรมแอนตี้ไวรัส
  • Hayabusa Rules - กฎตรวจจับของ Hayabusa และกฎ Sigma ที่คัดสรรแล้วซึ่งใช้กับ Hayabusa
  • Hayabusa EVTX - fork ของ crate evtx ที่ได้รับการดูแลรักษามากกว่า
  • Hayabusa Sample EVTXs - ไฟล์ evtx ตัวอย่างสำหรับใช้ทดสอบกฎตรวจจับของ hayabusa/sigma
  • Presentations - งานนำเสนอจากการบรรยายที่เราได้จัดขึ้นเกี่ยวกับเครื่องมือและทรัพยากรของเรา
  • Sigma to Hayabusa Converter - คัดสรรกฎ Sigma ที่อิงกับ Windows event log จากต้นทางให้อยู่ในรูปแบบที่ใช้งานง่ายขึ้น
  • Takajo - เครื่องมือวิเคราะห์ผลลัพธ์ของ hayabusa
  • WELA (Windows Event Log Analyzer) - เครื่องมือวิเคราะห์ Windows event logs ที่เขียนด้วย PowerShell (เลิกใช้งานแล้วและถูกแทนที่ด้วย Takajo)

โครงการของบุคคลที่สามที่ใช้ Hayabusa

  • AllthingsTimesketch - เวิร์กโฟลว์ NodeRED ที่นำเข้าผลลัพธ์ของ Plaso และ Hayabusa เข้าสู่ Timesketch
  • LimaCharlie - ให้บริการเครื่องมือและโครงสร้างพื้นฐานด้านความปลอดภัยบนคลาวด์เพื่อตอบโจทย์ความต้องการของคุณ
  • OpenRelik - แพลตฟอร์มโอเพนซอร์ส (Apache-2.0) ที่ออกแบบมาเพื่อให้การสืบสวนทางนิติวิทยาศาสตร์ดิจิทัลแบบทำงานร่วมกันเป็นไปอย่างราบรื่น
  • Splunk4DFIR - สร้าง splunk instance ขึ้นมาอย่างรวดเร็วด้วย Docker เพื่อเรียกดู log และผลลัพธ์ของเครื่องมือต่าง ๆ ระหว่างการสืบสวนของคุณ
  • Velociraptor - เครื่องมือสำหรับเก็บรวบรวมข้อมูลสถานะที่อิงกับโฮสต์โดยใช้คำสั่งค้นหาแบบ The Velociraptor Query Language (VQL)

เครื่องมือวิเคราะห์ Windows Event Log อื่น ๆ และทรัพยากรที่เกี่ยวข้อง

  • APT-Hunter - เครื่องมือตรวจจับการโจมตีที่เขียนด้วย Python
  • Awesome Event IDs - คอลเลกชันทรัพยากร Event ID ที่มีประโยชน์สำหรับ Digital Forensics และ Incident Response
  • Chainsaw - เครื่องมือตรวจจับการโจมตีที่อิงกับ sigma อีกตัวหนึ่งซึ่งเขียนด้วย Rust
  • DeepBlueCLI - เครื่องมือตรวจจับการโจมตีที่เขียนด้วย Powershell โดย Eric Conrad
  • Epagneul - การแสดงผลแบบกราฟสำหรับ Windows event logs
  • EventList - จับคู่ event ID ของ security baseline เข้ากับ MITRE ATT&CK โดย Miriam Wiesner
  • Mapping MITRE ATT&CK with Window Event Log IDs - โดย Michel de CREVOISIER
  • EvtxECmd - ตัวแยกวิเคราะห์ Evtx โดย Eric Zimmerman
  • EVTXtract - กู้คืนไฟล์ log EVTX จากพื้นที่ที่ยังไม่ได้จัดสรรและ memory image
  • EvtxToElk - เครื่องมือ Python สำหรับส่งข้อมูล Evtx ไปยัง Elastic Stack
  • EVTX ATTACK Samples - ไฟล์ log เหตุการณ์ตัวอย่างการโจมตี EVTX โดย SBousseaden
  • EVTX-to-MITRE-Attack - ไฟล์ log เหตุการณ์ตัวอย่างการโจมตี EVTX ที่จับคู่กับ ATT&CK โดย Michel de CREVOISIER
  • EVTX parser - ไลบรารี evtx ของ Rust ที่เราใช้ เขียนโดย @OBenamram
  • Grafiki - เครื่องมือแสดงผล log ของ Sysmon และ PowerShell
  • LogonTracer - อินเทอร์เฟซแบบกราฟิกเพื่อแสดงผลการล็อกออนสำหรับตรวจจับการเคลื่อนที่ในแนวขวาง (lateral movement) โดย JPCERTCC
  • NSA Windows Event Monitoring Guidance - คู่มือของ NSA ว่าควรเฝ้าระวังอะไรบ้าง
  • RustyBlue - การพอร์ต DeepBlueCLI เป็น Rust โดย Yamato Security
  • Sigma - กฎ SIEM ทั่วไปที่อิงกับชุมชน
  • SOF-ELK - VM ที่แพ็กเกจมาพร้อม Elastic Stack เพื่อนำเข้าข้อมูลสำหรับการวิเคราะห์ DFIR โดย Phil Hagen
  • so-import-evtx - นำเข้าไฟล์ evtx เข้าสู่ Security Onion
  • SysmonTools - เครื่องมือสำหรับตั้งค่าและแสดงผล log แบบออฟไลน์สำหรับ Sysmon
  • Timeline Explorer - เครื่องมือวิเคราะห์ไทม์ไลน์ CSV ที่ดีที่สุด โดย Eric Zimmerman
  • Windows Event Log Analysis - Analyst Reference - โดย Steve Anson จาก Forward Defense
  • Zircolite - เครื่องมือตรวจจับการโจมตีที่อิงกับ Sigma ซึ่งเขียนด้วย Python