หน้าแรก
Suzaku (朱雀) คือ เครื่องมือสร้างไทม์ไลน์สำหรับการล่าภัยคุกคามแบบ Sigma และการพิสูจน์หลักฐานอย่างรวดเร็วสำหรับล็อกบนคลาวด์ สร้างโดย Yamato Security และเขียนด้วย Rust ลองนึกถึง Hayabusa แต่สำหรับล็อกบนคลาวด์แทนที่จะเป็น ล็อกเหตุการณ์ของ Windows — พร้อมการรองรับ Sigma โดยกำเนิดสำหรับ AWS CloudTrail (มีแผนรองรับ Azure และ GCP)
ทำไมต้อง Suzaku?¶
-
Sigma แบบ Cloud-native
การตรวจจับด้วย Sigma โดยกำเนิดสำหรับล็อกบนคลาวด์ — AWS CloudTrail ในวันนี้ มีแผนรองรับ Azure และ GCP รองรับกฎแบบ correlation และ field modifier เกือบทั้งหมด
-
ไทม์ไลน์การพิสูจน์หลักฐานที่รวดเร็ว
เปลี่ยนการเรียก API บนคลาวด์ที่สับสนนับพันครั้งให้เป็น ไทม์ไลน์ DFIR เดียวที่วิเคราะห์ได้ง่าย โดยมีเฉพาะ เหตุการณ์ที่คุณต้องการ
-
รวดเร็วสุดขีดด้วย Rust
ปลอดภัยด้านหน่วยความจำ ทำงานแบบหลายเธรด และทำงานได้อย่างอิสระ สแกนล็อก
.jsonและล็อกบีบอัด.json.gzบน Windows, Linux และ macOS -
สรุปข้อมูลผู้โจมตี
สรุปการใช้งาน API และเมตริกของผู้โจมตี — IP ต้นทาง ตำแหน่งทางภูมิศาสตร์ ภูมิภาค user agent — เพื่อ pivot ได้อย่างรวดเร็ว
-
การตรวจจับพฤติกรรม
เผยกิจกรรมที่ผิดปกติ โดยไม่ต้องพึ่งพา signature เพื่อให้คุณไม่พลาดการโจมตีรูปแบบใหม่
-
เอาต์พุตที่ยืดหยุ่น
บันทึกผลลัพธ์เป็น CSV, JSON และ JSONL เพื่อวิเคราะห์ด้วยเครื่องมือที่คุณเลือก
ลิงก์ด่วน¶
-
เพิ่งเข้ามาใหม่?
เริ่มต้นด้วย ภาพรวม จากนั้นไปที่ การเริ่มต้นใช้งาน เพื่อดาวน์โหลดและรัน Suzaku
-
ทำงานกับ CLI?
เรียกดู รายการคำสั่ง และเอกสารอ้างอิงรายคำสั่งสำหรับคำสั่ง Analysis, DFIR Summary และ DFIR Timeline
-
ต้องการเจาะลึกกว่านี้?
สำรวจ การรองรับ Sigma โดยกำเนิด, โครงการที่เกี่ยวข้อง, และวิธีการ มีส่วนร่วม
