À propos

Mecha Hayabusa connecte l'outil d'analyse des journaux d'événements Windows Hayabusa aux grands modèles de langage (LLM) via le Model Context Protocol (MCP), permettant une investigation numérique et une chasse aux menaces pilotées par le langage naturel. Les analystes peuvent examiner des jeux de données de journaux d'événements Windows au format CSV en utilisant des capacités telles que l'analyse des tactiques MITRE ATT&CK, l'extraction d'IOC, la corrélation des déplacements latéraux, le décodage PowerShell et l'analyse de chronologie centrée sur l'hôte.

Les chronologies CSV de Hayabusa sont automatiquement converties en une base de données DuckDB locale, permettant aux LLM d'effectuer une analyse rapide et structurée sur de grands jeux de données de journaux. Le système fournit des capacités incluant le changement et le profilage de jeux de données, l'exécution SQL en lecture seule, la recherche inter-champs, l'agrégation de titres de règles, la synthèse par fenêtre temporelle, l'analyse de chronologie d'hôte, l'analyse du champ Details, l'extraction d'IOC, le décodage de PowerShell encodé en Base64 et la corrélation des déplacements latéraux.

Mecha Hayabusa inclut également une compétence d'investigation dédiée qui standardise le flux de travail DFIR et prend en charge la génération structurée de rapports d'incident en japonais ou en anglais.

L'innovation clé de Mecha Hayabusa est de permettre à un LLM d'exécuter un flux de travail d'investigation DFIR structuré via MCP, plutôt que d'agir comme une simple interface de recherche. Cette approche prend en charge l'ensemble du cycle de vie de l'investigation—du tri des jeux de données et du développement d'hypothèses à l'analyse des phases d'attaque, l'investigation au niveau de l'hôte, la corrélation des déplacements latéraux et la génération du rapport final—tout en améliorant la cohérence et l'efficacité pour les intervenants en cas d'incident.