Acerca de

Mecha Hayabusa conecta la herramienta de análisis de registros de eventos de Windows Hayabusa con modelos de lenguaje de gran tamaño (LLM) a través del Model Context Protocol (MCP), posibilitando el análisis forense digital y la búsqueda de amenazas guiados por lenguaje natural. Los analistas pueden investigar conjuntos de datos de registros de eventos de Windows basados en CSV utilizando capacidades como el análisis de tácticas MITRE ATT&CK, la extracción de IOC, la correlación de movimiento lateral, la decodificación de PowerShell y el análisis de líneas de tiempo centrado en el host.

Las líneas de tiempo CSV de Hayabusa se convierten automáticamente en una base de datos DuckDB local, lo que permite a los LLM realizar análisis rápidos y estructurados sobre grandes conjuntos de datos de registros. El sistema proporciona capacidades que incluyen el cambio y la creación de perfiles de conjuntos de datos, la ejecución de SQL de solo lectura, la búsqueda entre campos, la agregación de títulos de reglas, el resumen por ventanas de tiempo, el análisis de líneas de tiempo de hosts, el análisis del campo Details, la extracción de IOC, la decodificación de PowerShell codificado en Base64 y la correlación de movimiento lateral.

Mecha Hayabusa también incluye una habilidad de investigación dedicada que estandariza el flujo de trabajo de DFIR y admite la generación estructurada de informes de incidentes en japonés o inglés.

La innovación clave de Mecha Hayabusa es permitir que un LLM ejecute un flujo de trabajo de investigación de DFIR estructurado a través de MCP, en lugar de actuar como una simple interfaz de búsqueda. Este enfoque admite todo el ciclo de vida de la investigación—desde la clasificación de conjuntos de datos y el desarrollo de hipótesis hasta el análisis de fases de ataque, la investigación a nivel de host, la correlación de movimiento lateral y la generación del informe final—a la vez que mejora la coherencia y la eficiencia para los equipos de respuesta a incidentes.