परिचय

Mecha Hayabusa, Windows इवेंट लॉग विश्लेषण टूल Hayabusa को Model Context Protocol (MCP) के माध्यम से बड़े भाषा मॉडल (LLMs) से जोड़ता है, जिससे प्राकृतिक-भाषा संचालित डिजिटल फोरेंसिक और threat hunting संभव होती है। विश्लेषक MITRE ATT&CK रणनीति विश्लेषण, IOC निष्कर्षण, lateral movement सहसंबंध, PowerShell डिकोडिंग, और होस्ट-केंद्रित टाइमलाइन विश्लेषण जैसी क्षमताओं का उपयोग करके CSV-आधारित Windows इवेंट लॉग डेटासेट की जाँच कर सकते हैं।

Hayabusa CSV टाइमलाइनें स्वचालित रूप से एक स्थानीय DuckDB डेटाबेस में परिवर्तित हो जाती हैं, जिससे LLMs बड़े लॉग डेटासेट पर तेज़, संरचित विश्लेषण कर सकते हैं। यह सिस्टम डेटासेट स्विचिंग और प्रोफाइलिंग, केवल-पठन SQL निष्पादन, क्रॉस-फील्ड खोज, नियम शीर्षक एकत्रीकरण, टाइम-विंडो सारांशीकरण, होस्ट टाइमलाइन विश्लेषण, Details फील्ड पार्सिंग, IOC निष्कर्षण, Base64-एन्कोडेड PowerShell डिकोडिंग, और lateral movement सहसंबंध सहित क्षमताएँ प्रदान करता है।

Mecha Hayabusa में एक समर्पित investigation skill भी शामिल है जो DFIR वर्कफ़्लो को मानकीकृत करती है और जापानी या अंग्रेज़ी में संरचित घटना रिपोर्ट निर्माण का समर्थन करती है।

Mecha Hayabusa की प्रमुख नवीनता यह है कि यह एक LLM को एक साधारण खोज इंटरफ़ेस के रूप में कार्य करने के बजाय MCP के माध्यम से एक संरचित DFIR जाँच वर्कफ़्लो निष्पादित करने में सक्षम बनाती है। यह दृष्टिकोण संपूर्ण जाँच जीवनचक्र का समर्थन करता है—डेटासेट triage और परिकल्पना विकास से लेकर attack-phase विश्लेषण, होस्ट-स्तरीय जाँच, lateral movement सहसंबंध, और अंतिम रिपोर्ट निर्माण तक—जबकि घटना प्रतिक्रियाकर्ताओं के लिए संगति और दक्षता में सुधार करता है।