콘텐츠로 이동

Suzaku (朱雀)는 Yamato Security가 제작하고 Rust로 작성한 클라우드 로그를 위한 Sigma 기반 위협 헌팅 및 빠른 포렌식 타임라인 생성기입니다. Hayabusa를 떠올려보되, Windows 이벤트 로그가 아닌 클라우드 로그를 위한 것이며 — AWS CloudTrail에 대한 네이티브 Sigma 지원을 제공합니다(Azure 및 GCP는 계획 중).


Suzaku를 선택하는 이유

  • 클라우드 네이티브 Sigma


    클라우드 로그를 위한 네이티브 Sigma 탐지 — 현재는 AWS CloudTrail, Azure 및 GCP는 계획 중입니다. 상관관계 규칙과 거의 모든 필드 수정자를 지원합니다.

  • 빠른 포렌식 타임라인


    수천 건의 잡음 많은 클라우드 API 호출을 필요한 이벤트만 담은 하나의 분석하기 쉬운 DFIR 타임라인으로 변환합니다.

  • Rust로 구현된 압도적인 속도


    메모리 안전성을 갖추고 멀티스레드로 동작하며 독립 실행이 가능합니다. Windows, Linux, macOS에서 .json 및 압축된 .json.gz 로그를 스캔합니다.

  • 공격자 요약


    API 사용 현황과 공격자 지표 — 소스 IP, 지리적 위치, 리전, 사용자 에이전트 — 를 요약하여 신속하게 피벗할 수 있습니다.

  • 행위 탐지


    시그니처에 의존하지 않고 비정상 활동을 드러내어 새로운 공격을 놓치지 않습니다.

  • 유연한 출력


    원하는 도구에서 분석할 수 있도록 결과를 CSV, JSON, JSONL로 저장합니다.

빠른 링크