حول

يربط Mecha Hayabusa أداة تحليل سجلات أحداث Windows المسماة Hayabusa بنماذج اللغة الكبيرة (LLMs) من خلال Model Context Protocol (MCP)، مما يتيح إجراء التحاليل الجنائية الرقمية واصطياد التهديدات عبر اللغة الطبيعية. يمكن للمحللين التحقيق في مجموعات بيانات سجلات أحداث Windows المعتمدة على CSV باستخدام قدرات مثل تحليل تكتيكات MITRE ATT&CK، واستخراج IOC، وربط الحركة الجانبية، وفك تشفير PowerShell، وتحليل الجداول الزمنية المتمحورة حول المضيف.

تُحوَّل الجداول الزمنية بصيغة CSV الخاصة بـ Hayabusa تلقائياً إلى قاعدة بيانات محلية DuckDB، مما يسمح لنماذج اللغة الكبيرة بإجراء تحليل سريع ومنظم على مجموعات بيانات السجلات الكبيرة. يوفر النظام قدرات تشمل تبديل مجموعات البيانات وتوصيفها، وتنفيذ SQL للقراءة فقط، والبحث عبر الحقول، وتجميع عناوين القواعد، وتلخيص النوافذ الزمنية، وتحليل الجداول الزمنية للمضيف، وتحليل حقل Details، واستخراج IOC، وفك تشفير PowerShell المُرمَّز بـ Base64، وربط الحركة الجانبية.

يتضمن Mecha Hayabusa أيضاً مهارة تحقيق مخصصة توحّد سير عمل DFIR وتدعم إنشاء تقارير الحوادث المنظمة باللغة اليابانية أو الإنجليزية.

يكمن الابتكار الرئيسي لـ Mecha Hayabusa في تمكين نموذج اللغة الكبير من تنفيذ سير عمل تحقيق DFIR منظم من خلال MCP، بدلاً من العمل كواجهة بحث بسيطة. يدعم هذا النهج دورة حياة التحقيق الكاملة—بدءاً من فرز مجموعات البيانات وتطوير الفرضيات وصولاً إلى تحليل مراحل الهجوم، والتحقيق على مستوى المضيف، وربط الحركة الجانبية، وإنشاء التقرير النهائي—مع تحسين الاتساق والكفاءة للمستجيبين للحوادث.