功能特色

• 跨平台支援：Windows、Linux、macOS。
• 以 Rust 開發，兼具記憶體安全與高速效能。
• 支援多執行緒，最高可帶來 5 倍的速度提升。
• 為數位鑑識調查與事件應變建立單一且易於分析的時間軸。
• 以易於閱讀／建立／編輯的 YML 為基礎的 hayabusa 規則所撰寫的 IoC 特徵碼來進行威脅獵捕。
• 支援 Sigma 規則，可將 sigma 規則轉換為 hayabusa 規則。
• 目前相較於其他類似工具，支援最多的 sigma 規則，甚至支援計數規則以及如 |equalsfield 與 |endswithfield 等新的彙總運算子。
• 電腦指標。（用於篩選保留或排除具有大量事件的特定電腦時相當實用。）
• 事件 ID 指標。（用於掌握有哪些類型的事件，以及調校日誌設定時相當實用。）
• 透過排除不需要或雜訊過多的規則來進行規則調校設定。
• MITRE ATT&CK 戰術對應。
• 規則等級調校。
• 建立唯一樞紐關鍵字清單，以快速辨識異常的使用者、主機名稱、處理程序等，並可關聯事件。
• 輸出所有欄位以進行更徹底的調查。
• 成功與失敗的登入摘要。
• 透過 Velociraptor 在所有端點上進行全企業範圍的威脅獵捕與 DFIR。
• 輸出為 CSV、JSON/JSONL 與 HTML 摘要報告。
• 每日更新 Sigma 規則。
• 支援 JSON 格式的日誌輸入。
• 日誌欄位正規化。（將多個採用不同命名慣例的欄位轉換為相同的欄位名稱。）
• 透過為 IP 位址加入 GeoIP（ASN、城市、國家）資訊來豐富日誌內容。
• 搜尋所有事件以尋找關鍵字或正規表示式。
• 欄位資料對應。（例如：0xc0000234 -> ACCOUNT LOCKED）
• 從 evtx 的閒置空間中還原 evtx 記錄。
• 輸出時的事件去重。（當啟用復原記錄，或納入備份的 evtx 檔案、來自 VSS 的 evtx 檔案等時相當實用。）
• 掃描設定精靈，協助更輕鬆地選擇要啟用哪些規則。（以減少誤判等情況……）
• PowerShell 傳統日誌欄位的剖析與擷取。
• 低記憶體用量。（注意：這是透過不排序結果來達成的。最適合在代理程式或大數據上執行。）
• 針對 Channel 與 Rule 進行篩選以獲得最有效率的效能。
• 偵測、擷取並解碼日誌中找到的 Base64 字串。
• 根據關鍵系統調整警示等級。