ホーム
Suzaku(朱雀)は、Yamato Security によって作られた、クラウドログ向けの Sigma ベースのスレットハンティング兼高速フォレンジック タイムライン生成ツールです。Rust で記述されています。 Hayabusa の「クラウドログ版」とお考えください。 AWS CloudTrail に対する Sigma のネイティブ対応を備えています (Azure・GCP は対応予定)。
なぜ Suzaku なのか?¶
-
クラウドネイティブな Sigma
クラウドログに対する Sigma のネイティブ検知。現在は AWS CloudTrail に対応し、Azure・GCP は対応予定。相関ルールとほぼ全てのフィールド修飾子をサポート。
-
高速フォレンジックタイムライン
膨大でノイズの多いクラウド API 呼び出しを、必要なイベントだけに絞った解析しやすい単一の DFIR タイムラインに変換します。
-
Rust による圧倒的な速さ
メモリセーフ・マルチスレッド・スタンドアロン。Windows・Linux・macOS で
.jsonおよび圧縮.json.gzログをスキャンします。 -
攻撃者のサマリ
API の利用状況や攻撃者のメトリクス(送信元 IP、地理情報、リージョン、ユーザーエージェント)を 要約し、素早くピボットできます。
-
振る舞い検知
シグネチャに依存せず異常な活動を浮かび上がらせ、新種の攻撃も見逃しません。
-
柔軟な出力
結果を CSV・JSON・JSONL で保存し、お好みのツールで解析できます。
クイックリンク¶
-
はじめての方へ
-
CLI を使う
コマンド一覧や、分析・ DFIR サマリー・DFIR タイムライン の各コマンドリファレンスへ。
-
さらに活用する
ネイティブ Sigma サポート、関連プロジェクト、 貢献方法を見てみましょう。
