hayabusa
v2.18.0 ?
Hayabusa عبارة عن منشئ مخطط زمني سريع للطب الشرعي لسجل أحداث Windows وأداة لصيد التهديدات تم إنشاؤها بواسطة مجموعة Yamato Security في اليابان. هايابوسا تعني "الصقر الشاهين" باللغة اليابانية وقد تم اختياره لأن صقور الشاهين هي أسرع حيوان في العالم، فهي رائعة في الصيد وقابلة للتدريب بشكل كبير. إنه مكتوب بلغة Rust ويدعم تعدد الخيوط ليكون سريعًا قدر الإمكان. لقد قدمنا أداة لتحويل قواعد سيجما إلى تنسيق قاعدة Hayabusa. تمت كتابة قواعد اكتشاف Hayabusa المتوافقة مع Sigma بلغة YML لتكون قابلة للتخصيص والتوسيع بسهولة قدر الإمكان. يمكن تشغيل Hayabusa إما على أنظمة تشغيل واحدة للتحليل المباشر، أو عن طريق جمع السجلات من أنظمة فردية أو متعددة للتحليل دون الاتصال بالإنترنت، أو عن طريق تشغيل أداة Hayabusa باستخدام Velociraptor لمطاردة التهديدات والاستجابة للحوادث على مستوى المؤسسة. سيتم دمج المخرجات في مخطط زمني واحد بتنسيق CSV لسهولة التحليل في LibreOffice وTimeline Explorer وElastic Stack وTimesketch وما إلى ذلك...
evtx .-T )-H )-M )computer-metricscomputer-metricscomputer-metricseid-metricseid-metricseid-metricseid-metricslogon-summarylogon-summarylogon-summarypivot-keywords-listpivot-keywords-listpivot-keywords-listsearchsearchsearchcsv-timelinecsv-timelinecsv-timelinejson-timelinejson-timeline وملفات التكوينlevel-tuninglevel-tuninglevel-tuninglist-profilesset-default-profileset-default-profileupdate-rulesupdate-rulesminimal من إخراج الملف الشخصيstandardverboseall-field-infoall-field-info-verbosesuper-verbosetimesketch-minimal لإخراج الملف الشخصيtimesketch-verboseلدى Hayabusa حاليًا أكثر من 4000 قاعدة Sigma وأكثر من 170 قاعدة كشف مدمجة في Hayabusa مع إضافة المزيد من القواعد بانتظام. يمكن استخدامه لصيد التهديدات الاستباقية على مستوى المؤسسة بالإضافة إلى DFIR (الطب الشرعي الرقمي والاستجابة للحوادث) مجانًا مع قطعة Hayabusa الأثرية من Velociraptor. من خلال الجمع بين هاتين الأداتين مفتوحتي المصدر، يمكنك بشكل أساسي إعادة إنتاج SIEM بأثر رجعي عندما لا يكون هناك إعداد SIEM في البيئة. يمكنك التعرف على كيفية القيام بذلك من خلال مشاهدة إرشادات Eric Capuano's Velociraptor هنا.
لقد كان تحليل سجل أحداث Windows تقليديًا عملية طويلة ومملة للغاية لأن سجلات أحداث Windows هي 1) بتنسيق بيانات يصعب تحليله و2) غالبية البيانات عبارة عن ضوضاء وغير مفيدة للتحقيقات. هدف Hayabusa هو استخراج البيانات المفيدة فقط وتقديمها بتنسيق موجز وسهل القراءة قدر الإمكان بحيث لا يمكن استخدامه فقط من قبل المحللين المدربين بشكل احترافي ولكن أي مسؤول نظام Windows. وتأمل Hayabusa في السماح للمحللين بإنجاز 80% من عملهم في 20% من الوقت مقارنةً بتحليل سجل أحداث Windows التقليدي.
-T ) 
-H ) 
-M ) 
يمكنك معرفة كيفية تحليل الجداول الزمنية بتنسيق CSV في Excel وTimeline Explorer هنا.
يمكنك معرفة كيفية استيراد ملفات CSV إلى Elastic Stack هنا.
يمكنك معرفة كيفية استيراد ملفات CSV إلى Timesketch هنا.
يمكنك معرفة كيفية تحليل النتائج بتنسيق JSON باستخدام jq هنا.
|equalsfield و |endswithfield .0xc0000234 -> ACCOUNT LOCKED )برجاء تنزيل أحدث إصدار ثابت من Hayabusa مع الثنائيات المجمعة أو تجميع الكود المصدري من صفحة الإصدارات.
نحن نقدم ثنائيات للبنيات التالية:
hayabusa-xxx-lin-aarch64-gnu )hayabusa-xxx-lin-x64-gnu )hayabusa-xxx-lin-x64-musl )hayabusa-xxx-mac-aarch64 )hayabusa-xxx-mac-x64 )hayabusa-xxx-win-aarch64.exe )hayabusa-xxx-win-x64.exe )hayabusa-xxx-win-x86.exe )لسبب ما، لا يعمل ثنائي Linux ARM MUSL بشكل صحيح، لذلك لا نوفر هذا الثنائي. إنه خارج عن سيطرتنا، لذلك نخطط لتوفيره في المستقبل عندما يتم إصلاحه.
اعتبارًا من الإصدار 2.18.0، نقدم حزم Windows خاصة تستخدم قواعد XOR المشفرة المتوفرة في ملف واحد بالإضافة إلى جميع ملفات التكوين المدمجة في ملف واحد (مستضاف في مستودع القواعد المشفرة hayabusa). ما عليك سوى تنزيل الحزم المضغوطة مع live-response في الاسم. تتضمن الملفات المضغوطة ثلاثة ملفات فقط: ملف قواعد Hayabusa الثنائي وملف القواعد المشفر بـ XOR وملف التكوين. الغرض من حزم الاستجابة المباشرة هذه هو عند تشغيل Hayabusa على نقاط نهاية العميل، نريد التأكد من أن برامج مكافحة الفيروسات مثل Windows Defender لا تعطي نتائج إيجابية خاطئة على ملفات قواعد .yml . ونريد أيضًا تقليل كمية الملفات التي تتم كتابتها إلى النظام حتى لا تتم الكتابة فوق عناصر الطب الشرعي مثل USN Journal.
يمكنك git clone المستودع باستخدام الأمر التالي وتجميع الملف الثنائي من التعليمات البرمجية المصدر:
تحذير: الفرع الرئيسي للمستودع مخصص لأغراض التطوير، لذا قد تتمكن من الوصول إلى الميزات الجديدة التي لم يتم إصدارها رسميًا بعد، ومع ذلك، قد تكون هناك أخطاء، لذا اعتبرها غير مستقرة.
git clone https://github.com/Yamato-Security/hayabusa.git --recursiveملاحظة: إذا نسيت استخدام خيار --recursive، فلن يتم استنساخ مجلد
rules، الذي تتم إدارته كوحدة فرعية لـ git.
يمكنك مزامنة مجلد rules والحصول على أحدث قواعد Hayabusa باستخدام git pull --recurse-submodules أو استخدام الأمر التالي:
hayabusa.exe update-rules إذا فشل التحديث، فقد تحتاج إلى إعادة تسمية مجلد rules والمحاولة مرة أخرى.
تنبيه: عند التحديث، يتم استبدال القواعد وملفات التكوين الموجودة في مجلد
rulesبأحدث القواعد وملفات التكوين الموجودة في مستودع قواعد hayabusa. سيتم استبدال أي تغييرات تجريها على الملفات الموجودة، لذا نوصي بعمل نسخ احتياطية لأي ملفات تقوم بتحريرها قبل التحديث. إذا كنت تقوم بضبط المستوى باستخدامlevel-tuning، فيرجى إعادة ضبط ملفات القاعدة الخاصة بك بعد كل تحديث. إذا قمت بإضافة قواعد جديدة داخل مجلدrules، فلن تتم الكتابة فوقها أو حذفها عند التحديث.
إذا كان لديك Rust مثبتًا، فيمكنك الترجمة من المصدر باستخدام الأمر التالي:
ملحوظة: للتجميع، تحتاج عادةً إلى أحدث إصدار من Rust.
cargo build --releaseيمكنك تنزيل أحدث إصدار غير مستقر من الفرع الرئيسي أو أحدث إصدار ثابت من صفحة الإصدارات.
تأكد من تحديث Rust بشكل دوري باستخدام:
rustup update stable سيتم إخراج الملف الثنائي المترجم في المجلد ./target/release .
يمكنك التحديث إلى أحدث صناديق Rust قبل التجميع:
cargo updateيرجى إعلامنا إذا تعطل أي شيء بعد التحديث.
يمكنك إنشاء ثنائيات 32 بت على أنظمة Windows 64 بت بما يلي:
rustup install stable-i686-pc-windows-msvc
rustup target add i686-pc-windows-msvc
rustup run stable-i686-pc-windows-msvc cargo build --releaseتحذير: تأكد من تشغيل
rustup install stable-i686-pc-windows-msvcعندما يكون هناك إصدار ثابت جديد من Rust لأنrustup update stableلن يقوم بتحديث المترجم للتجميع المتقاطع وقد تتلقى أخطاء في البناء.
إذا تلقيت أخطاء في الترجمة حول openssl، فستحتاج إلى تثبيت Homebrew ثم تثبيت الحزم التالية:
brew install pkg-config
brew install opensslإذا تلقيت أخطاء في الترجمة حول openssl، فستحتاج إلى تثبيت الحزمة التالية.
التوزيعات المبنية على أوبونتو:
sudo apt install libssl-devالتوزيعات المعتمدة على فيدورا:
sudo yum install openssl-develعلى نظام التشغيل Linux، قم أولاً بتثبيت الهدف.
rustup install stable-x86_64-unknown-linux-musl
rustup target add x86_64-unknown-linux-muslتجميع مع:
cargo build --release --target=x86_64-unknown-linux-muslتحذير: تأكد من تشغيل
rustup install stable-x86_64-unknown-linux-muslعندما يكون هناك إصدار مستقر جديد من Rust لأنrustup update stableلن يقوم بتحديث المترجم للتجميع المتقاطع وقد تتلقى أخطاء في البناء.
سيتم إنشاء ثنائي MUSL في الدليل ./target/x86_64-unknown-linux-musl/release/ . تعد ثنائيات MUSL أبطأ بحوالي 15% من ثنائيات GNU، ومع ذلك، فهي أكثر قابلية للحمل عبر إصدارات وتوزيعات مختلفة من نظام التشغيل Linux.
قد تتلقى تنبيهًا من منتجات مكافحة الفيروسات أو EDR عند محاولة تشغيل hayabusa أو حتى عند تنزيل قواعد .yml حيث ستكون هناك كلمات رئيسية مثل mimikatz وأوامر PowerShell المشبوهة في توقيع الكشف. هذه نتائج إيجابية خاطئة، لذا ستحتاج إلى تكوين الاستثناءات في منتجات الأمان الخاصة بك للسماح بتشغيل hayabusa. إذا كنت قلقًا بشأن البرامج الضارة أو هجمات سلسلة التوريد، فيرجى التحقق من كود مصدر hayabusa وتجميع الثنائيات بنفسك.
قد تواجه وقت تشغيل بطيئًا خاصة عند التشغيل الأول بعد إعادة التشغيل بسبب الحماية في الوقت الحقيقي التي يوفرها Windows Defender. يمكنك تجنب ذلك عن طريق إيقاف تشغيل الحماية في الوقت الفعلي مؤقتًا أو إضافة استثناء إلى دليل وقت تشغيل hayabusa. (يُرجى أخذ المخاطر الأمنية بعين الاعتبار قبل القيام بذلك.)
في موجه الأوامر/PowerShell أو Windows Terminal، ما عليك سوى تشغيل الإصدار الثنائي المناسب من Windows 32 بت أو 64 بت.
عند استخدام الأمر المدمج أو موجه PowerShell في نظام التشغيل Windows، قد تتلقى خطأ مفاده أن Hayabusa لم يتمكن من تحميل أي ملفات .evtx إذا كانت هناك مساحة في مسار الملف أو الدليل. لتحميل ملفات .evtx بشكل صحيح، تأكد من القيام بما يلي:
تحتاج أولاً إلى جعل الملف الثنائي قابلاً للتنفيذ.
chmod +x ./hayabusaثم قم بتشغيله من الدليل الجذر لـ Hayabusa:
./hayabusaمن Terminal أو iTerm2، تحتاج أولاً إلى جعل الملف الثنائي قابلاً للتنفيذ.
chmod +x ./hayabusaثم حاول تشغيله من الدليل الجذر لـ Hayabusa:
./hayabusaفي الإصدار الأحدث من macOS، قد تتلقى الخطأ الأمني التالي عند محاولة تشغيله:
انقر فوق "إلغاء" ثم من تفضيلات النظام، افتح "الأمان والخصوصية" ومن علامة التبويب "عام"، انقر فوق "السماح على أي حال".
بعد ذلك، حاول تشغيله مرة أخرى.
./hayabusaسيظهر التحذير التالي، لذا يرجى النقر فوق "فتح".
يجب أن تكون الآن قادرًا على تشغيل hayabusa.
computer-metrics : طباعة عدد الأحداث بناءً على أسماء أجهزة الكمبيوتر.eid-metrics : اطبع عدد ونسبة الأحداث بناءً على معرف الحدث.logon-summary : طباعة ملخص لأحداث تسجيل الدخول.pivot-keywords-list : اطبع قائمة بالكلمات الرئيسية المشبوهة للتركيز عليها.search : ابحث في جميع الأحداث عن طريق الكلمات الرئيسية أو التعبيرات العادية csv-timeline : احفظ الجدول الزمني بتنسيق CSV.json-timeline : احفظ الجدول الزمني بتنسيق JSON/JSONL.level-tuning : ضبط level التنبيهات بشكل مخصص.list-profiles : قم بإدراج ملفات تعريف الإخراج المتاحة.set-default-profile : تغيير ملف التعريف الافتراضي.update-rules : قم بمزامنة القواعد مع أحدث القواعد في مستودع GitHub لقواعد hayabusa. help : اطبع هذه الرسالة أو مساعدة الأمر (الأوامر) الفرعية المحددةlist-contributors : اطبع قائمة المساهمينcomputer-metrics يمكنك استخدام أمر computer-metrics للتحقق من عدد الأحداث الموجودة وفقًا لكل كمبيوتر محدد في الحقل <System><Computer> . انتبه إلى أنه لا يمكنك الاعتماد بشكل كامل على مجال Computer لفصل الأحداث حسب الكمبيوتر الأصلي الخاص بها. سيستخدم Windows 11 أحيانًا أسماء Computer مختلفة تمامًا عند الحفظ في سجلات الأحداث. أيضًا، يقوم Windows 10 أحيانًا بتسجيل اسم Computer بأحرف صغيرة. لا يستخدم هذا الأمر أي قواعد كشف، لذا سيتم تحليل جميع الأحداث. يعد هذا أمرًا جيدًا للتشغيل لمعرفة أجهزة الكمبيوتر التي تحتوي على أكبر عدد من السجلات بسرعة. باستخدام هذه المعلومات، يمكنك بعد ذلك استخدام خيارات --include-computer أو --exclude-computer عند إنشاء المخططات الزمنية الخاصة بك لجعل إنشاء المخطط الزمني الخاص بك أكثر كفاءة عن طريق إنشاء مخططات زمنية متعددة وفقًا لجهاز الكمبيوتر أو استبعاد الأحداث من أجهزة كمبيوتر معينة.
Usage: computer-metrics <INPUT> [OPTIONS]
Input:
-d, --directory <DIR> Directory of multiple .evtx files
-f, --file <FILE> File path to one .evtx file
-l, --live-analysis Analyze the local C:WindowsSystem32winevtLogs folder
General Options:
-C, --clobber Overwrite files when saving
-h, --help Show the help menu
-J, --JSON-input Scan JSON formatted logs instead of .evtx (.json or .jsonl)
-Q, --quiet-errors Quiet errors mode: do not save error logs
-x, --recover-records Carve evtx records from slack space (default: disabled)
-c, --rules-config <DIR> Specify custom rule config directory (default: ./rules/config)
--target-file-ext <FILE-EXT...> Specify additional evtx file extensions (ex: evtx_data)
-t, --threads <NUMBER> Number of threads (default: optimal number for performance)
Filtering:
--timeline-offset <OFFSET> Scan recent events based on an offset (ex: 1y, 3M, 30d, 24h, 30m)
Output:
-o, --output <FILE> Save the results in CSV format (ex: computer-metrics.csv)
Display Settings:
--no-color Disable color output
-q, --quiet Quiet mode: do not display the launch banner
-v, --verbose Output verbose information
computer-metricshayabusa.exe computer-metrics -d ../logshayabusa.exe computer-metrics -d ../logs -o computer-metrics.csv computer-metrics 
eid-metrics يمكنك استخدام الأمر eid-metrics لطباعة العدد الإجمالي والنسبة المئوية لمعرفات الأحداث (حقل <System><EventID> ) مفصولة حسب القنوات. لا يستخدم هذا الأمر أي قواعد كشف، لذا سوف يقوم بفحص كافة الأحداث.
Usage: eid-metrics <INPUT> [OPTIONS]
Input:
-d, --directory <DIR> Directory of multiple .evtx files
-f, --file <FILE> File path to one .evtx file
-l, --live-analysis Analyze the local C:WindowsSystem32winevtLogs folder
General Options:
-C, --clobber Overwrite files when saving
-h, --help Show the help menu
-J, --JSON-input Scan JSON formatted logs instead of .evtx (.json or .jsonl)
-Q, --quiet-errors Quiet errors mode: do not save error logs
-x, --recover-records Carve evtx records from slack space (default: disabled)
-c, --rules-config <DIR> Specify custom rule config directory (default: ./rules/config)
--target-file-ext <FILE-EXT...> Specify additional evtx file extensions (ex: evtx_data)
-t, --threads <NUMBER> Number of threads (default: optimal number for performance)
Filtering:
--exclude-computer <COMPUTER...> Do not scan specified computer names (ex: ComputerA) (ex: ComputerA,ComputerB)
--include-computer <COMPUTER...> Scan only specified computer names (ex: ComputerA) (ex: ComputerA,ComputerB)
--timeline-offset <OFFSET> Scan recent events based on an offset (ex: 1y, 3M, 30d, 24h, 30m)
Output:
-o, --output <FILE> Save the Metrics in CSV format (ex: metrics.csv)
Display Settings:
--no-color Disable color output
-q, --quiet Quiet mode: do not display the launch banner
-v, --verbose Output verbose information
Time Format:
--European-time Output timestamp in European time format (ex: 22-02-2022 22:00:00.123 +02:00)
--ISO-8601 Output timestamp in ISO-8601 format (ex: 2022-02-22T10:10:10.1234567Z) (Always UTC)
--RFC-2822 Output timestamp in RFC 2822 format (ex: Fri, 22 Feb 2022 22:00:00 -0600)
--RFC-3339 Output timestamp in RFC 3339 format (ex: 2022-02-22 22:00:00.123456-06:00)
--US-military-time Output timestamp in US military time format (ex: 02-22-2022 22:00:00.123 -06:00)
--US-time Output timestamp in US time format (ex: 02-22-2022 10:00:00.123 PM -06:00)
-U, --UTC Output time in UTC format (default: local time)
eid-metricshayabusa.exe eid-metrics -f Security.evtxhayabusa.exe eid-metrics -d ../logshayabusa.exe eid-metrics -f Security.evtx -o eid-metrics.csv eid-metrics يتم تعريف القناة ومعرفات الأحداث وعناوين الأحداث في rules/config/channel_eid_info.txt .
مثال:
Channel,EventID,EventTitle
Microsoft-Windows-Sysmon/Operational,1,Process Creation.
Microsoft-Windows-Sysmon/Operational,2,File Creation Timestamp Changed. (Possible Timestomping)
Microsoft-Windows-Sysmon/Operational,3,Network Connection.
Microsoft-Windows-Sysmon/Operational,4,Sysmon Service State Changed.
eid-metrics 
logon-summary يمكنك استخدام الأمر logon-summary لإخراج ملخص معلومات تسجيل الدخول (أسماء مستخدمي تسجيل الدخول وعدد تسجيلات الدخول الناجحة والفاشلة). يمكنك عرض معلومات تسجيل الدخول لملف evtx واحد باستخدام -f أو ملفات evtx متعددة باستخدام الخيار -d .
Usage: logon-summary <INPUT> [OPTIONS]
Input:
-d, --directory <DIR> Directory of multiple .evtx files
-f, --file <FILE> File path to one .evtx file
-l, --live-analysis Analyze the local C:WindowsSystem32winevtLogs folder
General Options:
-C, --clobber Overwrite files when saving
-h, --help Show the help menu
-J, --JSON-input Scan JSON formatted logs instead of .evtx (.json or .jsonl)
-Q, --quiet-errors Quiet errors mode: do not save error logs
-x, --recover-records Carve evtx records from slack space (default: disabled)
-c, --rules-config <DIR> Specify custom rule config directory (default: ./rules/config)
--target-file-ext <FILE-EXT...> Specify additional evtx file extensions (ex: evtx_data)
-t, --threads <NUMBER> Number of threads (default: optimal number for performance)
Filtering:
--exclude-computer <COMPUTER...> Do not scan specified computer names (ex: ComputerA) (ex: ComputerA,ComputerB)
--include-computer <COMPUTER...> Scan only specified computer names (ex: ComputerA) (ex: ComputerA,ComputerB)
--timeline-end <DATE> End time of the event logs to load (ex: "2022-02-22 23:59:59 +09:00")
--timeline-offset <OFFSET> Scan recent events based on an offset (ex: 1y, 3M, 30d, 24h, 30m)
--timeline-start <DATE> Start time of the event logs to load (ex: "2020-02-22 00:00:00 +09:00")
Output:
-o, --output <FILENAME-PREFIX> Save the logon summary to two CSV files (ex: -o logon-summary)
Display Settings:
--no-color Disable color output
-q, --quiet Quiet mode: do not display the launch banner
-v, --verbose Output verbose information
Time Format:
--European-time Output timestamp in European time format (ex: 22-02-2022 22:00:00.123 +02:00)
--ISO-8601 Output timestamp in ISO-8601 format (ex: 2022-02-22T10:10:10.1234567Z) (Always UTC)
--RFC-2822 Output timestamp in RFC 2822 format (ex: Fri, 22 Feb 2022 22:00:00 -0600)
--RFC-3339 Output timestamp in RFC 3339 format (ex: 2022-02-22 22:00:00.123456-06:00)
--US-military-time Output timestamp in US military time format (ex: 02-22-2022 22:00:00.123 -06:00)
--US-time Output timestamp in US time format (ex: 02-22-2022 10:00:00.123 PM -06:00)
-U, --UTC Output time in UTC format (default: local time)
logon-summaryhayabusa.exe logon-summary -f Security.evtxhayabusa.exe logon-summary -d ../logs -o logon-summary.csv logon-summary 
pivot-keywords-list يمكنك استخدام أمر pivot-keywords-list لإنشاء قائمة بالكلمات الرئيسية المحورية الفريدة للتعرف سريعًا على المستخدمين غير الطبيعيين وأسماء المضيفين والعمليات وما إلى ذلك... بالإضافة إلى ربط الأحداث.
هام: افتراضيًا، ستعرض hayabusa نتائج من جميع الأحداث (المعلوماتية والأعلى)، لذا نوصي بشدة بدمج أمر pivot-keywords-list مع خيار -m, --min-level . على سبيل المثال، ابدأ بإنشاء كلمات رئيسية فقط من التنبيهات critical باستخدام -m critical ثم تابع باستخدام -m high و -m medium وما إلى ذلك... من المرجح أن تكون هناك كلمات رئيسية شائعة في نتائجك والتي ستتطابق مع العديد من الأحداث العادية، لذا، بعد التحقق يدويًا من النتائج وإنشاء قائمة بالكلمات الرئيسية الفريدة في ملف واحد، يمكنك بعد ذلك إنشاء مخطط زمني مضيق للأنشطة المشبوهة باستخدام أمر مثل grep -f keywords.txt timeline.csv .
Usage: pivot-keywords-list <INPUT> [OPTIONS]
Input:
-d, --directory <DIR> Directory of multiple .evtx files
-f, --file <FILE> File path to one .evtx file
-l, --live-analysis Analyze the local C:WindowsSystem32winevtLogs folder
General Options:
-C, --clobber Overwrite files when saving
-h, --help Show the help menu
-J, --JSON-input Scan JSON formatted logs instead of .evtx (.json or .jsonl)
-w, --no-wizard Do not ask questions. Scan for all events and alerts
-Q, --quiet-errors Quiet errors mode: do not save error logs
-x, --recover-records Carve evtx records from slack space (default: disabled)
-c, --rules-config <DIR> Specify custom rule config directory (default: ./rules/config)
--target-file-ext <FILE-EXT...> Specify additional evtx file extensions (ex: evtx_data)
-t, --threads <NUMBER> Number of threads (default: optimal number for performance)
Filtering:
-E, --EID-filter Scan only common EIDs for faster speed (./rules/config/target_event_IDs.txt)
-D, --enable-deprecated-rules Enable rules with a status of deprecated
-n, --enable-noisy-rules Enable rules set to noisy (./rules/config/noisy_rules.txt)
-u, --enable-unsupported-rules Enable rules with a status of unsupported
-e, --exact-level <LEVEL> Only load rules with a specific level (informational, low, medium, high, critical)
--exclude-computer <COMPUTER...> Do not scan specified computer names (ex: ComputerA) (ex: ComputerA,ComputerB)
--exclude-eid <EID...> Do not scan specific EIDs for faster speed (ex: 1) (ex: 1,4688)
--exclude-status <STATUS...> Do not load rules according to status (ex: experimental) (ex: stable,test)
--exclude-tag <TAG...> Do not load rules with specific tags (ex: sysmon)
--include-computer <COMPUTER...> Scan only specified computer names (ex: ComputerA) (ex: ComputerA,ComputerB)
--include-eid <EID...> Scan only specified EIDs for faster speed (ex: 1) (ex: 1,4688)
--include-status <STATUS...> Only load rules with specific status (ex: experimental) (ex: stable,test)
--include-tag <TAG...> Only load rules with specific tags (ex: attack.execution,attack.discovery)
-m, --min-level <LEVEL> Minimum level for rules to load (default: informational)
--timeline-end <DATE> End time of the event logs to load (ex: "2022-02-22 23:59:59 +09:00")
--timeline-offset <OFFSET> Scan recent events based on an offset (ex: 1y, 3M, 30d, 24h, 30m)
--timeline-start <DATE> Start time of the event logs to load (ex: "2020-02-22 00:00:00 +09:00")
Output:
-o, --output <FILENAME-PREFIX> Save pivot words to separate files (ex: PivotKeywords)
Display Settings:
--no-color Disable color output
-q, --quiet Quiet mode: do not display the launch banner
-v, --verbose Output verbose information
pivot-keywords-listhayabusa.exe pivot-keywords-list -d ../logs -m criticalkeywords-Ip Addresses.txt ، keywords-Users.txt ، وما إلى ذلك...): hayabusa.exe pivot-keywords-list -d ../logs -m critical -o keywords`
pivot-keywords-list يمكنك تخصيص الكلمات الرئيسية التي تريد البحث عنها عن طريق تحرير ./rules/config/pivot_keywords.txt . هذه الصفحة هي الإعداد الافتراضي.
التنسيق هو KeywordName.FieldName . على سبيل المثال، عند إنشاء قائمة Users ، ستقوم hayabusa بإدراج جميع القيم في الحقول SubjectUserName و TargetUserName و User .
search سيسمح لك أمر search بالبحث عن الكلمات الرئيسية في جميع الأحداث. (ليس فقط نتائج اكتشاف Hayabusa.) وهذا مفيد لتحديد ما إذا كان هناك أي دليل في الأحداث التي لم يتم اكتشافها بواسطة Hayabusa.
Usage: hayabusa.exe search <INPUT> <--keywords "<KEYWORDS>" OR --regex "<REGEX>"> [OPTIONS]
Display Settings:
--no-color Disable color output
-q, --quiet Quiet mode: do not display the launch banner
-v, --verbose Output verbose information
General Options:
-C, --clobber Overwrite files when saving
-h, --help Show the help menu
-Q, --quiet-errors Quiet errors mode: do not save error logs
-x, --recover-records Carve evtx records from slack space (default: disabled)
-c, --rules-config <DIR> Specify custom rule config directory (default: ./rules/config)
--target-file-ext <FILE-EXT...> Specify additional evtx file extensions (ex: evtx_data)
-t, --threads <NUMBER> Number of threads (default: optimal number for performance)
Input:
-d, --directory <DIR> Directory of multiple .evtx files
-f, --file <FILE> File path to one .evtx file
-l, --live-analysis Analyze the local C:WindowsSystem32winevtLogs folder
Filtering:
-a, --and-logic Search keywords with AND logic (default: OR)
-F, --filter <FILTER...> Filter by specific field(s)
-i, --ignore-case Case-insensitive keyword search
-k, --keyword <KEYWORD...> Search by keyword(s)
-r, --regex <REGEX> Search by regular expression
--timeline-offset <OFFSET> Scan recent events based on an offset (ex: 1y, 3M, 30d, 24h, 30m)
Output:
-J, --JSON-output Save the search results in JSON format (ex: -J -o results.json)
-L, --JSONL-output Save the search results in JSONL format (ex: -L -o results.jsonl)
-M, --multiline Output event field information in multiple rows for CSV output
-o, --output <FILE> Save the search results in CSV format (ex: search.csv)
Time Format:
--European-time Output timestamp in European time format (ex: 22-02-2022 22:00:00.123 +02:00)
--ISO-8601 Output timestamp in ISO-8601 format (ex: 2022-02-22T10:10:10.1234567Z) (Always UTC)
--RFC-2822 Output timestamp in RFC 2822 format (ex: Fri, 22 Feb 2022 22:00:00 -0600)
--RFC-3339 Output timestamp in RFC 3339 format (ex: 2022-02-22 22:00:00.123456-06:00)
--US-military-time Output timestamp in US military time format (ex: 02-22-2022 22:00:00.123 -06:00)
--US-time Output timestamp in US time format (ex: 02-22-2022 10:00:00.123 PM -06:00)
-U, --UTC Output time in UTC format (default: local time)
search../hayabusa-sample-evtx عن الكلمة الأساسية mimikatz : 
