freeBuf
主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

Hayabusa:一款针对Windows事件日志的威胁搜索与取证分析工具
2025-01-21 09:06:50
所属地 广西

关于Hayabusa

Hayabusa是一款针对Windows事件日志的威胁搜索与取证分析工具,该工具基于内存安全的Rust开发,支持多线程运行,并且是唯一完全支持 Sigma 规范(包括 v2 关联规则)的开源工具。

Hayabusa本质上是一个Windows 事件日志快速取证时间线生成器和威胁搜寻工具,可以处理上游 Sigma规则的解析,以使规则加载更加灵活并减少误报。值得一提的是,Hayabusa 可以在单个运行系统上运行以进行实时分析,也可以通过从单个或多个系统收集日志进行离线分析。

功能介绍

1、威胁搜寻和企业范围的 DFIR:Hayabusa 目前拥有超过 4000 条 Sigma 规则和超过 170 条 Hayabusa 内置检测规则,并且会定期添加更多规则。;

2、快速取证时间线生成:与传统的 Windows 事件日志分析相比,Hayabusa 希望让分析师在 20% 的时间内完成 80% 的工作;

工具安装

源码获取

广大研究人员可以直接使用下列命令将该项目源码克隆至本地:

git clone https://github.com/Yamato-Security/hayabusa.git --recursive

然后切换到项目目录中,使用下列命令更新rules文件夹并获球最新的Hayabusa规则:

hayabusa.exe update-rules

发布版本安装

我们还可以直接访问该项目的【Releases页面】下载预编译的CNAPPgoat 版本。

工具使用

分析命令

computer-metrics:根据计算机名称打印事件的数量;

eid-metrics:根据事件ID打印事件的数量和百分比;

expand-list:expand从文件夹中提取占位符rules;

extract-base64:从事件中提取并解码 base64 字符串;

log-metrics:打印日志文件指标;

logon-summary:打印登录事件的摘要;

pivot-keywords-list:打印一份可疑关键词列表以供参考;

search:通过关键字或正则表达式搜索所有事件;

DFIR 时间线命令

csv-timeline:以 CSV 格式保存时间线;

json-timeline:以 JSON/JSONL 格式保存时间线;

level-tuning:自定义调整警报等级;

list-profiles:列出可用的输出配置文件;

set-default-profile:更改默认配置文件;

update-rules:将规则同步到hayabusa-rules GitHub 存储库中的最新规则;

常规命令

help:打印此消息或给定子命令的帮助;

list-contributors:打印贡献者列表;

工具运行演示

启动

DFIR 时间线终端输出

关键字搜索结果

检测频率时间线(-T选项)

结果摘要

HTML 结果摘要(-H选项)

使用 Elastic Stack 仪表板进行分析


许可证协议

本项目的开发与发布遵循AGPL-3.0开源许可协议。

项目地址

Hayabusa:【GitHub传送门

参考资料

https://detect.fyi/hunting-with-hayabusa-tool-showcase-aafef7434413

https://mahim-firoj.medium.com/incident-response-and-threat-hunting-using-hayabusa-tool-383da273183a

https://blog.ecapuano.com/p/find-threats-in-event-logs-with-hayabusa

https://github.com/Yamato-Security/hayabusa/blob/main/doc/RustPerformance-English.md

# 日志分析 # 取证分析 # 威胁监测 # Windows系统安全 # Windows事件记录
免责声明
1.一般免责声明:本文所提供的技术信息仅供参考,不构成任何专业建议。读者应根据自身情况谨慎使用且应遵守《中华人民共和国网络安全法》,作者及发布平台不对因使用本文信息而导致的任何直接或间接责任或损失负责。
2. 适用性声明:文中技术内容可能不适用于所有情况或系统,在实际应用前请充分测试和评估。若因使用不当造成的任何问题,相关方不承担责任。
3. 更新声明:技术发展迅速,文章内容可能存在滞后性。读者需自行判断信息的时效性,因依据过时内容产生的后果,作者及发布平台不承担责任。
本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
被以下专辑收录,发现更多精彩内容
+ 收入我的专辑
+ 加入我的收藏
相关推荐
  • 0 文章数
  • 0 关注者
文章目录