Listコマンド¶
list-domainsコマンド¶
vt-domain-lookup で使用する重複のないドメインのリストを作成します。
現在は、Sysmon EID 22ログでクエリが記録されたドメインのみをチェックしますが、ビルトインのWindows DNSクライアント・サーバーログも今後サポート予定です。
- 入力: JSONL
- プロファイル:
all-field-infoとall-field-info-verbose以外すべて - 出力: テキストファイル
必須オプション:
-o, --output <TXT-FILE>: 結果を保存するテキストファイル-t, --timeline <JSONL-FILE-OR-DIR>: HayabusaのJSONLタイムラインまたはディレクトリ
任意オプション:
-s, --includeSubdomains: サブドメインを含めるか (デフォルト:false)-w, --includeWorkstations: ローカルワークステーション名を含めるか (デフォルト:false)-q, --quiet: ロゴを出力しない (デフォルト:false)
list-domainsコマンドの使用例¶
HayabusaでJSONLタイムラインを出力する:
結果をテキストファイルに保存する:
サブドメインを含める場合:
list-hashesコマンド¶
vt-hash-lookupで使用するプロセスハッシュ値のリストを作成します (入力: JSONL, プロファイル: standard)
- 入力: JSONL
- プロファイル:
all-field-infoとall-field-info-verbose以外すべて - 出力: テキストファイル
必須オプション:
-t, --timeline <JSONL-FILE-OR-DIR>: HayabusaのJSONLタイムラインまたはディレクトリ-o, --output <BASE-NAME>: 結果を保存するベースファイル名
任意オプション:
-l, --level: 最小のアラートレベルを指定 (デフォルト:high)-q, --quiet: ロゴを出力しない (デフォルト:false)
list-hashesコマンドの使用例¶
HayabusaでJSONLタイムラインを作成する:
ハッシュタイプ毎に異なるファイルに結果を保存する:
たとえば、MD5、SHA1 、IMPHASH がSysmonログに保存されている場合、 次のファルが作成されます:
case-1-MD5-hashes.txt, case-1-SHA1-hashes.txt, case-1-ImportHashes.txt
list-ip-addressesコマンド¶
vt-ip-lookupで使用する重複のない送信先/送信先IPアドレスのリストを作成します。すべての結果から送信先IPアドレスのTgtIPフィールドと送信元IPアドレスの SrcIPフィールドが抽出され、重複のないIPアドレスをテキストファイルに出力します。
- 入力: JSONL
- プロファイル:
all-field-infoとall-field-info-verbose以外すべて - 出力: テキストファイル
必須オプション:
-o, --output <TXT-FILE>: 結果を保存するテキストファイル-t, --timeline <JSONL-FILE-OR-DIR>: HayabusaのJSONLタイムラインまたはディレクトリ
任意オプション:
-i, --inbound: インバウンドトラフィックを含めるか (デフォルト:true)-O, --outbound: アウトバウンドトラフィックを含めるか (デフォルト:true)-p, --privateIp: プライベートIPアドレスを含めるか (デフォルト:false)-q, --quiet: ロゴを出力しない (デフォルト:false)
list-ip-addressesコマンドの使用例¶
HayabusaでJSONLタイムラインを作成する:
結果をテキストファイルに保存する:
インバウンドトラフィックを除外する:
プライベートIPアドレスを含める:
list-undetected-evtxコマンド¶
Hayabusaで検知するルールがなかったすべての.evtxファイルをリストアップします。
これは、hayabusa-sample-evtxリポジトリ内のevtxファイルなど、悪意のあるアクティビティの証拠を含むすべてのevtxファイルをリストアップすることを目的としています
- 入力: CSV
- プロファイル:
verbose,all-field-info-verbose,super-verbose,timesketch-verboseまず、
%EvtxFile%を出力するプロファイルを使用し、Hayabusaを実行、結果をCSVタイムラインに保存する必要があります こちらでHayabusaがプロファイルに従って、どのカラムを保存するかを確認できます。 - 出力: ターミナル または テキストファイル
必須オプション:
-e, --evtx-dir <EVTX-DIR>: Hayabusaでスキャンした.evtxファイルのディレクトリ-t, --timeline <CSV-FILE>: HayabusaのCSVタイムライン
任意オプション:
-c, --column-name <CUSTOM-EVTX-COLUMN>: evtxのカラム名を指定 (デフォルト: Hayabusaの規定値のEvtxFile)-o, --output <TXT-FILE>: 結果を保存するテキストファイル (デフォルト: 標準出力)-q, --quiet: ロゴを出力しない (デフォルト:false)
list-undetected-evtxコマンドの使用例¶
HayabusaでCSVタイムラインを出力する:
結果を標準出力に表示する:
結果をテキストファイルに保存する:
list-unused-rulesコマンド¶
何も検出されなかったすべての.ymlルールをリストアップします。
これは、ルールの信頼性を判断するのに役立ちます。
つまり、どのルールが悪意のあるアクティビティを検出するか、またどのルールがまだテストされておらずサンプル.evtxファイルが必要かの判断に使えます。
- 入力: CSV
- プロファイル:
verbose,all-field-info-verbose,super-verbose,timesketch-verboseまず、
%RuleFile%を出力するプロファイルを使用し、Hayabusaを実行、結果をCSVタイムラインに保存する必要があります こちらでHayabusaがプロファイルに従って、どのカラムを保存するかを確認できます。 - 出力: ターミナル または テキストファイル
必須オプション:
-r, --rules-dir <DIR>: Hayabusaで使用した.ymlルールファイルのディレクトリ-t, --timeline <CSV-FILE>: HayabusaのCSVタイムライン
任意オプション:
-c, --column-name <CUSTOM-RULE-FILE-COLUMN>: ルールファイルのカラム名を指定 (デフォルト: Hayabusaの規定値のRuleFile)-o, --output <TXT-FILE>: 結果を保存するテキストファイル (デフォルト: 標準出力)-q, --quiet: ロゴを出力しない (デフォルト:false)
list-unused-rulesコマンドの使用例¶
HayabusaでCSVタイムラインを出力する:
結果を標準出力に表示する:
結果をテキストファイルに保存する: