ホーム
Takajō(鷹匠)は、Yamato Security によって作られた、Hayabusa の結果を解析する高速フォレンジック解析ツールです。Nim で記述されています。Takajō は日本語で「鷹匠」を意味し、 Hayabusa が捕らえた「獲物」(結果)を解析することから名付けられました。
Takajō の特徴¶
-
単一の高速バイナリ
Nim で記述され、メモリセーフかつネイティブ C 並みに高速で、あらゆる OS で 単一のスタンドアロンバイナリとして動作します。
-
HTML レポート
Hayabusa の結果を HTML サマリレポートとして生成、またはインタラクティブに配信できます。
-
プロセスツリー
Sysmon ログから悪意のあるプロセスのプロセスツリーを再構築して表示します。
-
スタッキング解析
コマンドライン、DNS リクエスト、ログオン、プロセス、サービス、タスクなどをスタックして 外れ値を浮かび上がらせます。
-
目的別タイムライン
ログオン、USB 使用、不審なプロセスやタスクのタイムラインを作成し、大きな CSV/JSONL タイムラインを分割できます。
-
TTP と VirusTotal
MITRE ATT&CK Navigator で TTP をヒートマップとして可視化し、IP・ドメイン・ハッシュを VirusTotal で照会できます。