Перейти до змісту

Проєкти та екосистема

Супутні проєкти

  • EnableWindowsLogSettings - Документація та скрипти для належного увімкнення журналів подій Windows.
  • Hayabusa Encoded Rules - Те саме, що й репозиторій Hayabusa Rules, але правила та конфігураційні файли зберігаються в одному файлі та обробляються XOR, щоб запобігти хибним спрацюванням антивірусу.
  • Hayabusa Rules - Правила виявлення Hayabusa та відібрані правила виявлення Sigma, що використовуються в Hayabusa.
  • Hayabusa EVTX - Краще підтримуваний форк крейту evtx.
  • Hayabusa Sample EVTXs - Зразкові файли evtx для тестування правил виявлення hayabusa/sigma.
  • Presentations - Презентації з доповідей, які ми робили про наші інструменти та ресурси.
  • Sigma to Hayabusa Converter - Перетворює правила Sigma на основі журналів подій Windows із вищестоящого джерела на зручнішу для використання форму.
  • Takajo - Аналізатор результатів hayabusa.
  • WELA (Windows Event Log Analyzer) - Аналізатор журналів подій Windows, написаний на PowerShell. (Застарілий і замінений на Takajo.)

Сторонні проєкти, що використовують Hayabusa

  • AllthingsTimesketch - Робочий процес NodeRED, який імпортує результати Plaso та Hayabusa до Timesketch.
  • LimaCharlie - Надає хмарні інструменти безпеки та інфраструктуру відповідно до ваших потреб.
  • OpenRelik - Платформа з відкритим кодом (Apache-2.0), розроблена для оптимізації спільних цифрових криміналістичних розслідувань.
  • Splunk4DFIR - Швидко розгорніть екземпляр splunk за допомогою Docker для перегляду журналів і виводу інструментів під час ваших розслідувань.
  • Velociraptor - Інструмент для збору інформації про стан хоста за допомогою запитів The Velociraptor Query Language (VQL).

Інші аналізатори журналів подій Windows та пов'язані ресурси

  • APT-Hunter - Інструмент виявлення атак, написаний на Python.
  • Awesome Event IDs - Колекція ресурсів про Event ID, корисних для цифрової криміналістики та реагування на інциденти
  • Chainsaw - Ще один інструмент виявлення атак на основі sigma, написаний на Rust.
  • DeepBlueCLI - Інструмент виявлення атак, написаний на Powershell, від Eric Conrad.
  • Epagneul - Графова візуалізація журналів подій Windows.
  • EventList - Зіставлення ідентифікаторів подій базового рівня безпеки з MITRE ATT&CK від Miriam Wiesner.
  • Mapping MITRE ATT&CK with Window Event Log IDs - від Michel de CREVOISIER
  • EvtxECmd - Парсер Evtx від Eric Zimmerman.
  • EVTXtract - Відновлення файлів журналів EVTX з нерозподіленого простору та образів пам'яті.
  • EvtxToElk - Інструмент Python для надсилання даних Evtx до Elastic Stack.
  • EVTX ATTACK Samples - Зразкові файли журналів подій атак EVTX від SBousseaden.
  • EVTX-to-MITRE-Attack - Зразкові файли журналів подій атак EVTX, зіставлені з ATT&CK, від Michel de CREVOISIER
  • EVTX parser - бібліотека evtx на Rust, яку ми використовуємо, написана @OBenamram.
  • Grafiki - Візуалізатор журналів Sysmon та PowerShell.
  • LogonTracer - Графічний інтерфейс для візуалізації входів у систему з метою виявлення латерального переміщення від JPCERTCC.
  • NSA Windows Event Monitoring Guidance - Посібник NSA щодо того, що слід моніторити.
  • RustyBlue - Порт DeepBlueCLI на Rust від Yamato Security.
  • Sigma - Загальні правила SIEM на основі спільноти.
  • SOF-ELK - Попередньо упакована ВМ з Elastic Stack для імпорту даних для аналізу DFIR від Phil Hagen
  • so-import-evtx - Імпорт файлів evtx до Security Onion.
  • SysmonTools - Інструмент конфігурації та офлайн-візуалізації журналів для Sysmon.
  • Timeline Explorer - Найкращий аналізатор часових шкал CSV від Eric Zimmerman.
  • Windows Event Log Analysis - Analyst Reference - від Steve Anson з Forward Defense.
  • Zircolite - Інструмент виявлення атак на основі Sigma, написаний на Python.