專案與生態系¶
相關專案¶
- EnableWindowsLogSettings - 用於正確啟用 Windows 事件日誌的文件與腳本。
- Hayabusa Encoded Rules - 與 Hayabusa Rules 儲存庫相同,但規則與設定檔被儲存於單一檔案中並經過 XOR 處理,以防止防毒軟體誤報。
- Hayabusa Rules - Hayabusa 所使用的 Hayabusa 與精選 Sigma 偵測規則。
- Hayabusa EVTX - 維護更完善的
evtxcrate 分支。 - Hayabusa Sample EVTXs - 用於測試 hayabusa/sigma 偵測規則的範例 evtx 檔案。
- Presentations - 我們針對自家工具與資源所進行演講的簡報。
- Sigma to Hayabusa Converter - 將上游基於 Windows 事件日誌的 Sigma 規則整理成更易於使用的形式。
- Takajo - hayabusa 結果的分析工具。
- WELA (Windows Event Log Analyzer) - 以 PowerShell 撰寫的 Windows 事件日誌分析工具。(已棄用,並由 Takajo 取代。)
使用 Hayabusa 的第三方專案¶
- AllthingsTimesketch - 一個將 Plaso 與 Hayabusa 結果匯入 Timesketch 的 NodeRED 工作流程。
- LimaCharlie - 提供雲端式安全工具與基礎架構以滿足您的需求。
- OpenRelik - 一個開放原始碼(Apache-2.0)平台,旨在簡化協作式數位鑑識調查。
- Splunk4DFIR - 使用 Docker 快速啟動一個 splunk 執行個體,以在調查期間瀏覽日誌與工具輸出。
- Velociraptor - 一個使用 The Velociraptor Query Language (VQL) 查詢來收集主機端狀態資訊的工具。
其他 Windows 事件日誌分析工具與相關資源¶
- APT-Hunter - 以 Python 撰寫的攻擊偵測工具。
- Awesome Event IDs - 對數位鑑識與事件應變有用的 Event ID 資源彙整
- Chainsaw - 另一個以 Rust 撰寫、基於 sigma 的攻擊偵測工具。
- DeepBlueCLI - 由 Eric Conrad 以 Powershell 撰寫的攻擊偵測工具。
- Epagneul - Windows 事件日誌的圖形視覺化工具。
- EventList - 由 Miriam Wiesner 製作,將安全基準事件 ID 對應至 MITRE ATT&CK。
- Mapping MITRE ATT&CK with Window Event Log IDs - 由 Michel de CREVOISIER 製作
- EvtxECmd - 由 Eric Zimmerman 製作的 Evtx 剖析器。
- EVTXtract - 從未配置空間與記憶體映像中復原 EVTX 日誌檔案。
- EvtxToElk - 將 Evtx 資料傳送至 Elastic Stack 的 Python 工具。
- EVTX ATTACK Samples - 由 SBousseaden 製作的 EVTX 攻擊範例事件日誌檔案。
- EVTX-to-MITRE-Attack - 由 Michel de CREVOISIER 製作、對應至 ATT&CK 的 EVTX 攻擊範例事件日誌檔案
- EVTX parser - 我們所使用、由 @OBenamram 撰寫的 Rust evtx 函式庫。
- Grafiki - Sysmon 與 PowerShell 日誌視覺化工具。
- LogonTracer - 由 JPCERTCC 製作,用於視覺化登入以偵測橫向移動的圖形化介面。
- NSA Windows Event Monitoring Guidance - NSA 關於應監控項目的指南。
- RustyBlue - 由 Yamato Security 製作的 DeepBlueCLI Rust 移植版本。
- Sigma - 社群為基礎的通用 SIEM 規則。
- SOF-ELK - 由 Phil Hagen 製作、預先封裝並搭載 Elastic Stack 以匯入資料進行 DFIR 分析的 VM
- so-import-evtx - 將 evtx 檔案匯入 Security Onion。
- SysmonTools - Sysmon 的設定與離線日誌視覺化工具。
- Timeline Explorer - 由 Eric Zimmerman 製作、最佳的 CSV 時間軸分析工具。
- Windows Event Log Analysis - Analyst Reference - 由 Forward Defense 的 Steve Anson 製作。
- Zircolite - 以 Python 撰寫、基於 Sigma 的攻擊偵測工具。