关于Hayabusa
Hayabusa是一款针对Windows事件日志的威胁搜索与取证分析工具,该工具基于内存安全的Rust开发,支持多线程运行,并且是唯一完全支持 Sigma 规范(包括 v2 关联规则)的开源工具。
Hayabusa本质上是一个Windows 事件日志快速取证时间线生成器和威胁搜寻工具,可以处理上游 Sigma规则的解析,以使规则加载更加灵活并减少误报。值得一提的是,Hayabusa 可以在单个运行系统上运行以进行实时分析,也可以通过从单个或多个系统收集日志进行离线分析。
功能介绍
1、威胁搜寻和企业范围的 DFIR:Hayabusa 目前拥有超过 4000 条 Sigma 规则和超过 170 条 Hayabusa 内置检测规则,并且会定期添加更多规则。;
2、快速取证时间线生成:与传统的 Windows 事件日志分析相比,Hayabusa 希望让分析师在 20% 的时间内完成 80% 的工作;
工具安装
源码获取
广大研究人员可以直接使用下列命令将该项目源码克隆至本地:
git clone https://github.com/Yamato-Security/hayabusa.git --recursive
然后切换到项目目录中,使用下列命令更新rules文件夹并获球最新的Hayabusa规则:
hayabusa.exe update-rules
发布版本安装
我们还可以直接访问该项目的【Releases页面】下载预编译的CNAPPgoat 版本。
工具使用
分析命令
computer-metrics:根据计算机名称打印事件的数量;
eid-metrics:根据事件ID打印事件的数量和百分比;
expand-list:expand从文件夹中提取占位符rules;
extract-base64:从事件中提取并解码 base64 字符串;
log-metrics:打印日志文件指标;
logon-summary:打印登录事件的摘要;
pivot-keywords-list:打印一份可疑关键词列表以供参考;
search:通过关键字或正则表达式搜索所有事件;
DFIR 时间线命令
csv-timeline:以 CSV 格式保存时间线;
json-timeline:以 JSON/JSONL 格式保存时间线;
level-tuning:自定义调整警报等级;
list-profiles:列出可用的输出配置文件;
set-default-profile:更改默认配置文件;
update-rules:将规则同步到hayabusa-rules GitHub 存储库中的最新规则;
常规命令
help:打印此消息或给定子命令的帮助;
list-contributors:打印贡献者列表;
工具运行演示
启动
DFIR 时间线终端输出
关键字搜索结果
检测频率时间线(-T选项)
结果摘要
HTML 结果摘要(-H选项)
使用 Elastic Stack 仪表板进行分析
许可证协议
本项目的开发与发布遵循AGPL-3.0开源许可协议。
项目地址
Hayabusa:【GitHub传送门】
参考资料
https://detect.fyi/hunting-with-hayabusa-tool-showcase-aafef7434413
https://mahim-firoj.medium.com/incident-response-and-threat-hunting-using-hayabusa-tool-383da273183a
Find Threats in Event Logs with Hayabusa - by Eric Capuano
hayabusa/doc/RustPerformance-English.md at main · Yamato-Security/hayabusa · GitHub