關於

Mecha Hayabusa 透過 Model Context Protocol (MCP)，將 Windows 事件記錄分析工具 Hayabusa 連接至大型語言模型（LLM），實現以自然語言驅動的數位鑑識與威脅獵捕。分析人員可運用 MITRE ATT&CK 戰術分析、IOC 萃取、橫向移動關聯、PowerShell 解碼以及以主機為中心的時間軸分析等功能，調查以 CSV 為基礎的 Windows 事件記錄資料集。

Hayabusa CSV 時間軸會自動轉換為本機 DuckDB 資料庫，讓 LLM 能夠對大型記錄資料集進行快速且結構化的分析。本系統提供的功能包括資料集切換與剖析、唯讀 SQL 執行、跨欄位搜尋、規則標題彙整、時間視窗摘要、主機時間軸分析、Details 欄位剖析、IOC 萃取、Base64 編碼的 PowerShell 解碼，以及橫向移動關聯。

Mecha Hayabusa 還包含一項專用的調查技能，可將 DFIR 工作流程標準化，並支援以日文或英文產生結構化的事件報告。

Mecha Hayabusa 的關鍵創新在於，讓 LLM 能夠透過 MCP 執行結構化的 DFIR 調查工作流程，而非僅作為簡單的搜尋介面。此方法支援完整的調查生命週期——從資料集分流與假設建立，到攻擊階段分析、主機層級調查、橫向移動關聯，以及最終報告產生——同時為事件應變人員提升一致性與效率。