首頁
Suzaku (朱雀) 是一套以 Sigma 為基礎、針對雲端日誌的威脅獵捕與快速鑑識時間軸 產生器,由 Yamato Security 開發,並以 Rust 撰寫。想像一下 Hayabusa,但對象是雲端日誌而非 Windows 事件日誌——並原生支援針對 AWS CloudTrail 的 Sigma(Azure 與 GCP 規劃中)。
為什麼選擇 Suzaku?¶
-
雲端原生 Sigma
針對雲端日誌的原生 Sigma 偵測——目前支援 AWS CloudTrail, Azure 與 GCP 規劃中。支援關聯規則以及幾乎所有的欄位修飾子。
-
快速鑑識時間軸
將數以千計、雜訊繁多的雲端 API 呼叫,轉化為一份僅包含你所需事件、易於分析的 DFIR 時間軸。
-
以 Rust 打造、速度驚人
記憶體安全、多執行緒且獨立運行。可在 Windows、Linux 與 macOS 上掃描
.json與壓縮過的.json.gz日誌。 -
攻擊者摘要
彙整 API 使用情形與攻擊者指標——來源 IP、地理位置、區域、使用者代理——以便快速進行樞紐分析。
-
行為偵測
不依賴特徵碼即可揭露異常活動,讓你不會錯過新型態的攻擊。
-
彈性的輸出
可將結果儲存為 CSV、JSON 與 JSONL,以便使用你慣用的工具進行分析。
快速連結¶
-
第一次使用?
-
正在使用 CLI?
瀏覽指令清單,以及 Analysis、DFIR Summary 與 DFIR Timeline 各指令的詳細參考。
-
想更進一步?
探索原生 Sigma 支援、 相關專案,以及如何 貢獻。
