Розроблено на Rust для безпеки роботи з пам'яттю та швидкодії.
Підтримка багатопотоковості, що забезпечує приріст швидкості до 5 разів.
Створює єдині, прості для аналізу часові шкали для криміналістичних розслідувань та реагування на інциденти.
Полювання на загрози на основі IoC-сигнатур, записаних у легких для читання/створення/редагування правилах hayabusa на основі YML.
Підтримка правил Sigma для конвертації правил sigma у правила hayabusa.
Наразі підтримує найбільшу кількість правил sigma порівняно з іншими подібними інструментами та навіть підтримує правила підрахунку (count) і нові агрегатори, такі як |equalsfield та |endswithfield.
Метрики комп'ютерів. (Корисно для фільтрації певних комп'ютерів з великою кількістю подій.)
Метрики Event ID. (Корисно для отримання уявлення про те, які типи подій існують, та для налаштування параметрів журналювання.)
Конфігурація налаштування правил шляхом виключення непотрібних або шумних правил.
Зіставлення тактик за MITRE ATT&CK.
Налаштування рівня правил.
Створення списку унікальних опорних ключових слів для швидкого виявлення аномальних користувачів, імен хостів, процесів тощо, а також для кореляції подій.
Виведення всіх полів для більш ретельних розслідувань.
Зведення успішних та невдалих входів у систему.
Полювання на загрози та DFIR у масштабах усього підприємства на всіх кінцевих точках за допомогою Velociraptor.
Виведення у CSV, JSON/JSONL та зведені звіти HTML.
Щоденні оновлення правил Sigma.
Підтримка вхідних журналів у форматі JSON.
Нормалізація полів журналу. (Перетворення кількох полів з різними угодами щодо найменування на одне й те саме ім'я поля.)
Збагачення журналів шляхом додавання інформації GeoIP (ASN, місто, країна) до IP-адрес.
Пошук у всіх подіях за ключовими словами або регулярними виразами.
Зіставлення даних полів. (Напр.: 0xc0000234 -> ACCOUNT LOCKED)
Карвінг записів evtx з вільного простору (slack space) evtx.
Дедублікація подій під час виведення. (Корисно, коли увімкнено відновлення записів або коли ви включаєте резервні копії файлів evtx, файли evtx з VSS тощо.)
Майстер налаштування сканування, що допомагає легше обрати, які правила увімкнути. (З метою зменшення кількості хибних спрацювань тощо.)
Розбір та вилучення полів класичного журналу PowerShell.
Низьке споживання пам'яті. (Примітка: це можливо завдяки відсутності сортування результатів. Найкраще підходить для запуску на агентах або з великими даними.)
Фільтрація за каналами (Channels) та правилами (Rules) для максимально ефективної продуктивності.
Виявлення, вилучення та декодування рядків Base64, знайдених у журналах.
Коригування рівня сповіщень на основі критичних систем.