콘텐츠로 이동

소개

Mecha Hayabusa는 Windows 이벤트 로그 분석 도구 HayabusaModel Context Protocol (MCP)을 통해 대규모 언어 모델(LLM)에 연결하여, 자연어 기반의 디지털 포렌식과 위협 헌팅을 가능하게 합니다. 분석가는 MITRE ATT&CK 전술 분석, IOC 추출, 측면 이동 상관 분석, PowerShell 디코딩, 호스트 중심 타임라인 분석과 같은 기능을 사용하여 CSV 기반 Windows 이벤트 로그 데이터셋을 조사할 수 있습니다.

Hayabusa CSV 타임라인은 자동으로 로컬 DuckDB 데이터베이스로 변환되어, LLM이 대규모 로그 데이터셋에 대해 빠르고 구조화된 분석을 수행할 수 있도록 합니다. 이 시스템은 데이터셋 전환 및 프로파일링, 읽기 전용 SQL 실행, 교차 필드 검색, 룰 제목 집계, 시간 구간 요약, 호스트 타임라인 분석, Details 필드 파싱, IOC 추출, Base64로 인코딩된 PowerShell 디코딩, 측면 이동 상관 분석을 포함한 기능을 제공합니다.

Mecha Hayabusa는 또한 DFIR 워크플로를 표준화하고 일본어 또는 영어로 구조화된 사고 보고서 생성을 지원하는 전용 조사 스킬(investigation skill)을 포함합니다.

Mecha Hayabusa의 핵심 혁신은 LLM이 단순한 검색 인터페이스로 작동하는 것이 아니라 MCP를 통해 구조화된 DFIR 조사 워크플로를 실행할 수 있도록 하는 데 있습니다. 이 접근 방식은 데이터셋 분류와 가설 수립부터 공격 단계 분석, 호스트 수준 조사, 측면 이동 상관 분석, 최종 보고서 생성에 이르는 전체 조사 수명 주기를 지원하면서도, 사고 대응자를 위한 일관성과 효율성을 향상시킵니다.