List Commands¶
list-domains command¶
vt-domain-lookup နှင့်အတူ အသုံးပြုရန် ထူးခြားသော ဒိုမိန်းများ၏ စာရင်းကို ဖန်တီးပေးသည်။
လက်ရှိတွင် ၎င်းသည် Sysmon EID 22 logs ထဲရှိ မေးမြန်းထားသော ဒိုမိန်းများကိုသာ စစ်ဆေးမည်ဖြစ်သော်လည်း built-in Windows DNS Client နှင့် Server logs ကို ပံ့ပိုးရန် အပ်ဒိတ်လုပ်သွားမည်ဖြစ်သည်။
- Input: JSONL
- Profile:
all-field-infoနှင့်all-field-info-verboseမှလွဲ၍ မည်သည့်အရာမဆို - Output: Text file
လိုအပ်သော options များ:
-o, --output <TXT-FILE>: ရလဒ်များကို text file တစ်ခုသို့ သိမ်းဆည်းသည်။-t, --timeline <JSONL-FILE-OR-DIR>: Hayabusa JSONL timeline file သို့မဟုတ် directory။
Options များ:
-s, --includeSubdomains: subdomains များ ထည့်သွင်းသည် (default:false)-w, --includeWorkstations: ဒေသတွင်း workstation အမည်များ ထည့်သွင်းသည် (default:false)-q, --quiet: logo ကို မပြသပါ (default:false)-s, --skipProgressBar: progress bar ကို မပြသပါ (default:false)
list-domains command examples¶
Hayabusa ဖြင့် JSONL timeline ကို ပြင်ဆင်ပါ:
ရလဒ်များကို text file တစ်ခုသို့ သိမ်းဆည်းပါ:
subdomains များ ထည့်သွင်းပါ:
list-hashes command¶
vt-hash-lookup နှင့်အတူ အသုံးပြုရန် process hashes များ၏ စာရင်းကို ဖန်တီးပါ (input: JSONL, profile: standard)
- Input: JSONL
- Profile:
all-field-infoနှင့်all-field-info-verboseမှလွဲ၍ မည်သည့်အရာမဆို - Output: Text file
လိုအပ်သော options များ:
-t, --timeline <JSONL-FILE-OR-DIR>: Hayabusa JSONL timeline file သို့မဟုတ် JSONL files များ၏ directory-o, --output <BASE-NAME>: text ရလဒ်များ သိမ်းဆည်းရန် base name ကို သတ်မှတ်ပါ။
Options များ:
-l, --level: အနိမ့်ဆုံး level ကို သတ်မှတ်ပါ။ (default:high)-q, --quiet: logo ကို မပြသပါ။ (default:false)-s, --skipProgressBar: progress bar ကို မပြသပါ (default:false)
list-hashes command examples¶
Hayabusa ဖြင့် JSONL timeline ကို ပြင်ဆင်ပါ:
hash အမျိုးအစားတစ်ခုစီအတွက် မတူညီသော text file တစ်ခုစီသို့ ရလဒ်များကို သိမ်းဆည်းပါ:
ဥပမာအားဖြင့်၊ MD5, SHA1 နှင့် IMPHASH hashes များကို sysmon logs ထဲတွင် သိမ်းဆည်းထားပါက အောက်ပါ files များကို ဖန်တီးမည်ဖြစ်သည်: case-1-MD5-hashes.txt, case-1-SHA1-hashes.txt, case-1-ImportHashes.txt
list-ip-addresses command¶
vt-ip-lookup နှင့်အတူ အသုံးပြုရန် ထူးခြားသော target နှင့်/သို့မဟုတ် source IP addresses များ၏ စာရင်းကို ဖန်တီးပေးသည်။
၎င်းသည် ရလဒ်အားလုံးထဲတွင် target IP addresses များအတွက် TgtIP fields များနှင့် source IP addresses များအတွက် SrcIP fields များကို ထုတ်ယူပြီး ထူးခြားသော IP addresses များကိုသာ text file တစ်ခုသို့ output ထုတ်ပေးမည်ဖြစ်သည်။
- Input: JSONL
- Profile:
all-field-infoနှင့်all-field-info-verboseမှလွဲ၍ မည်သည့်အရာမဆို - Output: Text file
လိုအပ်သော options များ:
-o, --output <TXT-FILE>: ရလဒ်များကို text file တစ်ခုသို့ သိမ်းဆည်းသည်။-t, --timeline <JSONL-FILE-OR-DIR>: Hayabusa JSONL timeline file သို့မဟုတ် directory။
Options များ:
-i, --inbound: inbound traffic ထည့်သွင်းသည်။ (default:true)-O, --outbound: outbound traffic ထည့်သွင်းသည်။ (default:true)-p, --privateIp: private IP addresses များ ထည့်သွင်းသည် (default:false)-q, --quiet: logo ကို မပြသပါ။ (default:false)-s, --skipProgressBar: "progress bar ကို မပြသပါ (default:false)
list-ip-addresses command examples¶
Hayabusa ဖြင့် JSONL timeline ကို ပြင်ဆင်ပါ:
ရလဒ်များကို text file တစ်ခုသို့ သိမ်းဆည်းပါ:
inbound traffic ကို ဖယ်ထုတ်ပါ:
private IP addresses များ ထည့်သွင်းပါ:
list-undetected-evtx command¶
Hayabusa တွင် detection rule မရှိခဲ့သော .evtx files အားလုံးကို စာရင်းပြုစုပေးသည်။
ဤအရာသည် hayabusa-sample-evtx repository ထဲရှိ sample evtx files များကဲ့သို့ အန္တရာယ်ရှိသော လုပ်ဆောင်ချက်၏ သက်သေအထောက်အထားအားလုံး ပါဝင်သည့် sample evtx files များတွင် အသုံးပြုရန် ရည်ရွယ်ထားသည်။
- Input: CSV
- Profile:
verbose,all-field-info-verbose,super-verbose,timesketch-verboseသင်သည် ဦးစွာ
%EvtxFile%column အချက်အလက်ကို သိမ်းဆည်းသည့် profile တစ်ခုဖြင့် Hayabusa ကို run ပြီး ရလဒ်များကို CSV timeline တစ်ခုသို့ သိမ်းဆည်းရန် လိုအပ်သည်။ မတူညီသော profiles များအလိုက် Hayabusa မည်သည့် columns များကို သိမ်းဆည်းသည်ကို ဤနေရာတွင် ကြည့်ရှုနိုင်သည်။ - Output: Terminal သို့မဟုတ် text file
လိုအပ်သော options များ:
-e, --evtx-dir <EVTX-DIR>: သင် Hayabusa ဖြင့် scan လုပ်ခဲ့သော.evtxfiles များ၏ directory။-t, --timeline <CSV-FILE>: Hayabusa CSV timeline။
Options များ:
-c, --column-name <CUSTOM-EVTX-COLUMN>: evtx column အတွက် စိတ်ကြိုက် column name တစ်ခုကို သတ်မှတ်ပါ။ (default: Hayabusa ၏ default ဖြစ်သောEvtxFile)-o, --output <TXT-FILE>: ရလဒ်များကို text file တစ်ခုသို့ သိမ်းဆည်းပါ။ (default: မျက်နှာပြင်သို့ output ထုတ်သည်)-q, --quiet: logo ကို မပြသပါ။ (default:false)
list-undetected-evtx command examples¶
Hayabusa ဖြင့် CSV timeline ကို ပြင်ဆင်ပါ:
ရလဒ်များကို မျက်နှာပြင်သို့ output ထုတ်ပါ:
ရလဒ်များကို text file တစ်ခုသို့ သိမ်းဆည်းပါ:
list-unused-rules command¶
မည်သည့်အရာကိုမျှ မ detect ခဲ့သော .yml detection rules အားလုံးကို စာရင်းပြုစုပေးသည်။
ဤအရာသည် rules များ၏ ယုံကြည်စိတ်ချရမှုကို ဆုံးဖြတ်ရာတွင် အထောက်အကူဖြစ်စေသည်။
ဆိုလိုသည်မှာ မည်သည့် rules များသည် အန္တရာယ်ရှိသော လုပ်ဆောင်ချက်ကို ရှာဖွေတွေ့ရှိကြောင်း သိရှိထားပြီး မည်သည့်အရာများသည် စမ်းသပ်ခြင်းမပြုရသေးဘဲ sample .evtx files များ လိုအပ်နေသည်ကို ဆိုလိုသည်။
- Input: CSV
- Profile:
verbose,all-field-info-verbose,super-verbose,timesketch-verboseသင်သည် ဦးစွာ
%RuleFile%column အချက်အလက်ကို သိမ်းဆည်းသည့် profile တစ်ခုဖြင့် Hayabusa ကို run ပြီး ရလဒ်များကို CSV timeline တစ်ခုသို့ သိမ်းဆည်းရန် လိုအပ်သည်။ မတူညီသော profiles များအလိုက် Hayabusa မည်သည့် columns များကို သိမ်းဆည်းသည်ကို ဤနေရာတွင် ကြည့်ရှုနိုင်သည်။ - Output: Termianl သို့မဟုတ် text file
လိုအပ်သော options များ:
-r, --rules-dir <DIR>: သင် Hayabusa ဖြင့် အသုံးပြုခဲ့သော.ymlrules files များ၏ directory။-t, --timeline <CSV-FILE>: Hayabusa မှ ဖန်တီးထားသော CSV timeline။
Options များ:
-c, --column-name <CUSTOM-RULE-FILE-COLUMN>: rule file column အတွက် စိတ်ကြိုက် column name တစ်ခုကို သတ်မှတ်ပါ။ (default: Hayabusa ၏ default ဖြစ်သောRuleFile)-o, --output <TXT-FILE>: ရလဒ်များကို text file တစ်ခုသို့ သိမ်းဆည်းပါ။ (default: မျက်နှာပြင်သို့ output ထုတ်သည်)-q, --quiet: logo ကို မပြသပါ။ (default:false)
list-unused-rules command examples¶
Hayabusa ဖြင့် CSV timeline ကို ပြင်ဆင်ပါ:
ရလဒ်များကို မျက်နှာပြင်သို့ output ထုတ်ပါ:
ရလဒ်များကို text file တစ်ခုသို့ သိမ်းဆည်းပါ: