เกี่ยวกับ

Mecha Hayabusa เชื่อมต่อเครื่องมือวิเคราะห์ Windows event log อย่าง Hayabusa เข้ากับโมเดลภาษาขนาดใหญ่ (LLMs) ผ่าน Model Context Protocol (MCP) ทำให้สามารถทำงานด้านนิติวิทยาศาสตร์ดิจิทัลและการตามล่าภัยคุกคามที่ขับเคลื่อนด้วยภาษาธรรมชาติได้ นักวิเคราะห์สามารถตรวจสอบชุดข้อมูล Windows event log แบบ CSV โดยใช้ความสามารถต่าง ๆ เช่น การวิเคราะห์ยุทธวิธี MITRE ATT&CK, การสกัด IOC, การเชื่อมโยงการเคลื่อนที่ในแนวขวาง (lateral movement), การถอดรหัส PowerShell และการวิเคราะห์ไทม์ไลน์ที่เน้นโฮสต์เป็นศูนย์กลาง

ไทม์ไลน์ CSV ของ Hayabusa จะถูกแปลงเป็นฐานข้อมูล DuckDB ในเครื่องโดยอัตโนมัติ ทำให้ LLMs สามารถวิเคราะห์ชุดข้อมูลบันทึกขนาดใหญ่ได้อย่างรวดเร็วและมีโครงสร้าง ระบบนี้มีความสามารถต่าง ๆ ได้แก่ การสลับและการทำโปรไฟล์ชุดข้อมูล, การรัน SQL แบบอ่านอย่างเดียว, การค้นหาข้ามฟิลด์, การรวมกลุ่มตามชื่อกฎ (rule title), การสรุปตามช่วงเวลา, การวิเคราะห์ไทม์ไลน์ของโฮสต์, การแยกวิเคราะห์ฟิลด์ Details, การสกัด IOC, การถอดรหัส PowerShell ที่เข้ารหัสแบบ Base64 และการเชื่อมโยงการเคลื่อนที่ในแนวขวาง

Mecha Hayabusa ยังมี investigation skill เฉพาะที่ทำให้เวิร์กโฟลว์ DFIR เป็นมาตรฐาน และรองรับการสร้างรายงานเหตุการณ์ที่มีโครงสร้างในภาษาญี่ปุ่นหรือภาษาอังกฤษ

นวัตกรรมสำคัญของ Mecha Hayabusa คือการทำให้ LLM สามารถดำเนินการเวิร์กโฟลว์การสืบสวน DFIR ที่มีโครงสร้างผ่าน MCP แทนที่จะทำหน้าที่เป็นเพียงอินเทอร์เฟซการค้นหาธรรมดา แนวทางนี้รองรับวงจรการสืบสวนแบบเต็มรูปแบบ ตั้งแต่การคัดกรองชุดข้อมูลและการพัฒนาสมมติฐาน ไปจนถึงการวิเคราะห์ระยะการโจมตี, การสืบสวนระดับโฮสต์, การเชื่อมโยงการเคลื่อนที่ในแนวขวาง และการสร้างรายงานขั้นสุดท้าย พร้อมทั้งปรับปรุงความสม่ำเสมอและประสิทธิภาพสำหรับผู้ตอบสนองเหตุการณ์