Про Hayabusa

Hayabusa — це генератор хронології швидкої форензики журналів подій Windows та інструмент полювання на загрози, створений групою Yamato Security в Японії. Hayabusa японською означає "сапсан" і був обраний, оскільки сапсани є найшвидшими тваринами у світі, чудово полюють і легко піддаються дресируванню. Він написаний мовою Rust із безпечною роботою з пам'яттю Rust, підтримує багатопотоковість, щоб бути якомога швидшим, і є єдиним інструментом з відкритим кодом, який має повну підтримку специфікації Sigma, включно з правилами кореляції v2. Hayabusa може обробляти й парсити вихідні правила upstream Sigma, однак правила Sigma, які ми використовуємо та розміщуємо в репозиторії hayabusa-rules, зазнають певних перетворень, щоб зробити завантаження правил гнучкішим і зменшити кількість хибних спрацювань. Докладніше про це можна прочитати у файлі README репозиторію sigma-to-hayabusa-converter. Hayabusa можна запускати або на окремих працюючих системах для аналізу в реальному часі, шляхом збирання журналів з однієї чи кількох систем для офлайн-аналізу, або шляхом запуску артефакту Hayabusa з Velociraptor для полювання на загрози та реагування на інциденти в масштабах усього підприємства. Результат буде об'єднано в єдину хронологію CSV/JSON/JSONL для зручного аналізу в LibreOffice, Timeline Explorer Elastic Stack, Timesketch тощо...