အကြောင်းအရာ

Mecha Hayabusa သည် Windows event log ခွဲခြမ်းစိတ်ဖြာရေး ကိရိယာ Hayabusa ကို Model Context Protocol (MCP) မှတစ်ဆင့် large language models (LLMs) နှင့် ချိတ်ဆက်ပေးခြင်းဖြင့် သဘာဝဘာသာစကားဖြင့် မောင်းနှင်သော ဒစ်ဂျစ်တယ်မှုခင်းဆေးပညာနှင့် ခြိမ်းခြောက်မှုရှာဖွေခြင်းကို ဖြစ်နိုင်စေသည်။ ခွဲခြမ်းစိတ်ဖြာသူများသည် MITRE ATT&CK နည်းဗျူဟာ ခွဲခြမ်းစိတ်ဖြာခြင်း၊ IOC ထုတ်ယူခြင်း၊ lateral movement ဆက်စပ်ခြင်း၊ PowerShell decode ပြုလုပ်ခြင်းနှင့် host ကိုဗဟိုပြုသော timeline ခွဲခြမ်းစိတ်ဖြာခြင်းကဲ့သို့သော စွမ်းရည်များကို အသုံးပြု၍ CSV အခြေခံ Windows event log dataset များကို စုံစမ်းစစ်ဆေးနိုင်သည်။

Hayabusa CSV timeline များကို local DuckDB database အဖြစ် အလိုအလျောက် ပြောင်းလဲပေးခြင်းဖြင့် LLM များသည် ကြီးမားသော log dataset များအပေါ် မြန်ဆန်၍ ဖွဲ့စည်းတည်ဆောက်ထားသော ခွဲခြမ်းစိတ်ဖြာမှုကို ပြုလုပ်နိုင်စေသည်။ ဤစနစ်သည် dataset ပြောင်းလဲခြင်းနှင့် profiling၊ read-only SQL execution၊ cross-field search၊ rule title aggregation၊ time-window summarization၊ host timeline ခွဲခြမ်းစိတ်ဖြာခြင်း၊ Details field parsing၊ IOC ထုတ်ယူခြင်း၊ Base64-encoded PowerShell decode ပြုလုပ်ခြင်းနှင့် lateral movement ဆက်စပ်ခြင်းအပါအဝင် စွမ်းရည်များကို ပံ့ပိုးပေးသည်။

Mecha Hayabusa တွင် DFIR workflow ကို စံပြုပေးပြီး ဂျပန် သို့မဟုတ် အင်္ဂလိပ် ဖြင့် ဖွဲ့စည်းတည်ဆောက်ထားသော အဖြစ်အပျက်အစီရင်ခံစာ ထုတ်လုပ်ခြင်းကို ပံ့ပိုးပေးသော သီးသန့် investigation skill တစ်ခုလည်း ပါဝင်သည်။

Mecha Hayabusa ၏ အဓိက ဆန်းသစ်တီထွင်မှုမှာ LLM တစ်ခုကို ရိုးရှင်းသော search interface အဖြစ် လုပ်ဆောင်စေမည့်အစား MCP မှတစ်ဆင့် ဖွဲ့စည်းတည်ဆောက်ထားသော DFIR စုံစမ်းစစ်ဆေးရေး workflow ကို လုပ်ဆောင်စေနိုင်ခြင်းဖြစ်သည်။ ဤချဉ်းကပ်နည်းသည် dataset triage နှင့် ယူဆချက်ဖွံ့ဖြိုးတိုးတက်ရေးမှသည် တိုက်ခိုက်မှုအဆင့် ခွဲခြမ်းစိတ်ဖြာခြင်း၊ host အဆင့် စုံစမ်းစစ်ဆေးခြင်း၊ lateral movement ဆက်စပ်ခြင်းနှင့် နောက်ဆုံးအစီရင်ခံစာ ထုတ်လုပ်ခြင်းအထိ စုံစမ်းစစ်ဆေးရေး သက်တမ်းတစ်ခုလုံးကို ပံ့ပိုးပေးပြီး အဖြစ်အပျက်တုံ့ပြန်သူများအတွက် တသမတ်တည်းဖြစ်မှုနှင့် ထိရောက်မှုကို တိုးတက်စေသည်။