Projeler ve Ekosistem

Tamamlayıcı Projeler

• EnableWindowsLogSettings - Windows olay günlüklerini düzgün şekilde etkinleştirmek için belgeler ve betikler.
• Hayabusa Encoded Rules - Hayabusa Rules deposuyla aynıdır, ancak kurallar ve yapılandırma dosyaları tek bir dosyada saklanır ve anti-virüs yazılımından kaynaklanan yanlış pozitifleri önlemek için XOR'lanır.
• Hayabusa Rules - Hayabusa tarafından kullanılan Hayabusa ve özenle seçilmiş Sigma tespit kuralları.
• Hayabusa EVTX - evtx crate'inin daha iyi bakımı yapılan bir çatallaması (fork).
• Hayabusa Sample EVTXs - hayabusa/sigma tespit kurallarını test etmek için kullanılacak örnek evtx dosyaları.
• Presentations - Araçlarımız ve kaynaklarımız hakkında verdiğimiz konuşmalardan sunumlar.
• Sigma to Hayabusa Converter - Yukarı akış (upstream) Windows olay günlüğü tabanlı Sigma kurallarını daha kolay kullanılabilir bir biçime dönüştürür.
• Takajo - hayabusa sonuçları için bir analiz aracı.
• WELA (Windows Event Log Analyzer) - PowerShell ile yazılmış bir Windows olay günlüğü analiz aracı. (Kullanımdan kaldırıldı ve yerini Takajo aldı.)

Hayabusa Kullanan Üçüncü Taraf Projeleri

• AllthingsTimesketch - Plaso ve Hayabusa sonuçlarını Timesketch'e aktaran bir NodeRED iş akışı.
• LimaCharlie - İhtiyaçlarınıza uygun bulut tabanlı güvenlik araçları ve altyapısı sağlar.
• OpenRelik - İşbirliğine dayalı dijital adli soruşturmaları kolaylaştırmak için tasarlanmış açık kaynaklı (Apache-2.0) bir platform.
• Splunk4DFIR - Soruşturmalarınız sırasında günlükleri ve araç çıktılarını incelemek için Docker ile hızlıca bir splunk örneği başlatın.
• Velociraptor - Velociraptor Sorgu Dili (VQL) sorgularını kullanarak ana bilgisayar tabanlı durum bilgilerini toplamak için bir araç.

Diğer Windows Olay Günlüğü Analiz Araçları ve İlgili Kaynaklar

• APT-Hunter - Python ile yazılmış saldırı tespit aracı.
• Awesome Event IDs - Dijital Adli Bilişim ve Olay Müdahalesi için faydalı Event ID kaynaklarının bir koleksiyonu
• Chainsaw - Rust ile yazılmış başka bir sigma tabanlı saldırı tespit aracı.
• DeepBlueCLI - Eric Conrad tarafından Powershell ile yazılmış saldırı tespit aracı.
• Epagneul - Windows olay günlükleri için grafik görselleştirme.
• EventList - Miriam Wiesner tarafından güvenlik temel çizgisi (baseline) event ID'lerini MITRE ATT&CK ile eşleştirir.
• Mapping MITRE ATT&CK with Window Event Log IDs - Michel de CREVOISIER tarafından
• EvtxECmd - Eric Zimmerman tarafından Evtx ayrıştırıcı.
• EVTXtract - Tahsis edilmemiş alandan ve bellek görüntülerinden EVTX günlük dosyalarını kurtarın.
• EvtxToElk - Evtx verilerini Elastic Stack'e gönderen Python aracı.
• EVTX ATTACK Samples - SBousseaden tarafından EVTX saldırı örneği olay günlüğü dosyaları.
• EVTX-to-MITRE-Attack - Michel de CREVOISIER tarafından ATT&CK ile eşleştirilmiş EVTX saldırı örneği olay günlüğü dosyaları
• EVTX parser - @OBenamram tarafından yazılmış, kullandığımız Rust evtx kütüphanesi.
• Grafiki - Sysmon ve PowerShell günlüğü görselleştiricisi.
• LogonTracer - JPCERTCC tarafından yanal hareketi tespit etmek için oturum açmaları görselleştiren grafiksel bir arayüz.
• NSA Windows Event Monitoring Guidance - NSA'nın neyin izlenmesi gerektiğine dair rehberi.
• RustyBlue - Yamato Security tarafından DeepBlueCLI'nin Rust uyarlaması.
• Sigma - Topluluk tabanlı genel SIEM kuralları.
• SOF-ELK - Phil Hagen tarafından DFIR analizi için veri içe aktarmaya yönelik Elastic Stack ile önceden paketlenmiş bir VM
• so-import-evtx - evtx dosyalarını Security Onion'a aktarın.
• SysmonTools - Sysmon için yapılandırma ve çevrimdışı günlük görselleştirme aracı.
• Timeline Explorer - Eric Zimmerman tarafından en iyi CSV zaman çizelgesi analiz aracı.
• Windows Event Log Analysis - Analyst Reference - Forward Defense'ten Steve Anson tarafından.
• Zircolite - Python ile yazılmış Sigma tabanlı saldırı tespit aracı.