コンテンツにスキップ

概要

Mecha Hayabusa は、Windows イベントログ解析ツール HayabusaModel Context Protocol (MCP)を通じて大規模言語モデル(LLM)と接続し、自然言語によるデジタルフォレンジック調査および脅威ハンティングを可能にします。 アナリストは CSV 形式の Windows イベントログデータセットを対象に、MITRE ATT&CK タクティクス分析、IOC抽出、ラテラルムーブメント相関分析、PowerShellコマンドのデコード、ホスト単位のタイムライン分析などをインタラクティブに実行できます。

Hayabusa の CSV タイムラインは自動的にローカルの DuckDBデータベースへ変換され、大規模なログデータに対して LLM が高速かつ構造化された分析を行えるようになります。 主な機能として、データセットの切り替えとプロファイリング、読み取り専用SQL 実行、クロスフィールド検索、RuleTitle集計、時間ウィンドウ集計、ホストタイムライン分析、Detailsフィールド解析、IOC 抽出、Base64 エンコードされた PowerShellのデコード、ラテラルムーブメント相関分析などを提供します。

さらに Mecha Hayabusa には、DFIR 調査プロセスを標準化する解析SKILLが含まれており、日本語または英語での構造化インシデントレポート生成をサポートします。

Mecha Hayabusa の最大の特徴は、LLMを単なる検索インターフェースとして利用するのではなく、MCPを通じて構造化された DFIR 調査ワークフローを実行できる点にあります。 この仕組みにより、データセットの初期トリアージ、仮説構築、IOC抽出、攻撃フェーズ分析、ホスト単位の詳細調査、ラテラルムーブメント分析、最終レポート生成まで、インシデント調査のライフサイクル全体をサポートします。

これにより、経験豊富なフォレンジックアナリストの調査手順を再現しつつ、ジュニアおよびミッドレベルのインシデントレスポンダーにとっても一貫性と再現性の高い調査を可能にします。