Про застосунок

Mecha Hayabusa з'єднує інструмент аналізу журналів подій Windows Hayabusa з великими мовними моделями (LLM) через Model Context Protocol (MCP), забезпечуючи цифрову криміналістику та полювання на загрози, кероване природною мовою. Аналітики можуть досліджувати набори даних журналів подій Windows на основі CSV, використовуючи такі можливості, як аналіз тактик MITRE ATT&CK, вилучення IOC, кореляція бічного переміщення, декодування PowerShell та аналіз хронології з орієнтацією на хости.

Хронології Hayabusa у форматі CSV автоматично перетворюються на локальну базу даних DuckDB, що дозволяє LLM виконувати швидкий, структурований аналіз великих наборів даних журналів. Система надає такі можливості, як перемикання та профілювання наборів даних, виконання SQL лише для читання, пошук за полями, агрегація заголовків правил, узагальнення за часовими вікнами, аналіз хронології хостів, розбір поля Details, вилучення IOC, декодування PowerShell, закодованого в Base64, та кореляція бічного переміщення.

Mecha Hayabusa також включає спеціальний навик розслідування, який стандартизує робочий процес DFIR та підтримує структуроване створення звітів про інциденти японською або англійською мовою.

Ключовою інновацією Mecha Hayabusa є те, що вона дозволяє LLM виконувати структурований робочий процес розслідування DFIR через MCP, а не діяти як простий пошуковий інтерфейс. Цей підхід підтримує повний життєвий цикл розслідування — від сортування наборів даних і розробки гіпотез до аналізу фаз атаки, розслідування на рівні хостів, кореляції бічного переміщення та остаточного створення звіту — водночас підвищуючи узгодженість та ефективність для фахівців з реагування на інциденти.