hayabusa

Hayabusa es un generador de línea de tiempo forense rápido de registro de eventos de Windows y una herramienta de búsqueda de amenazas creada por el grupo Yamato Security en Japón. Hayabusa significa "halcón peregrino" en japonés y fue elegido porque los halcones peregrinos son el animal más rápido del mundo, excelentes para la caza y altamente entrenables. Está escrito en Rust y admite subprocesos múltiples para ser lo más rápido posible. Hemos proporcionado una herramienta para convertir las reglas de Sigma al formato de reglas de Hayabusa. Las reglas de detección de Hayabusa compatibles con Sigma están escritas en YML para que sean lo más fácilmente personalizables y extensibles posible. Hayabusa se puede ejecutar en sistemas en ejecución únicos para análisis en vivo, recopilando registros de uno o varios sistemas para análisis fuera de línea, o ejecutando el artefacto Hayabusa con Velociraptor para la búsqueda de amenazas y respuesta a incidentes en toda la empresa. El resultado se consolidará en una única línea de tiempo CSV para facilitar el análisis en LibreOffice, Timeline Explorer, Elastic Stack, Timesketch, etc.

• EnableWindowsLogSettings: documentación y scripts para habilitar correctamente los registros de eventos de Windows.
• Reglas codificadas de Hayabusa: lo mismo que el repositorio de reglas de Hayabusa, pero las reglas y los archivos de configuración se almacenan en un solo archivo y se realizan XOR para evitar falsos positivos del antivirus.
• Reglas de Hayabusa: Hayabusa y las reglas de detección seleccionadas de Sigma utilizaron Hayabusa.
• Hayabusa EVTX: una bifurcación más mantenida de la caja evtx .
• EVTX de muestra de Hayabusa: archivos evtx de muestra que se utilizarán para probar las reglas de detección de hayabusa/sigma.
• Presentaciones - Presentaciones de charlas que hemos dado sobre nuestras herramientas y recursos.
• Convertidor de Sigma a Hayabusa: cura las reglas Sigma basadas en el registro de eventos de Windows en una forma más fácil de usar.
• Takajo: un analizador de resultados de hayabusa.
• WELA (Analizador de registros de eventos de Windows): un analizador de registros de eventos de Windows escritos en PowerShell. (Obsoleto y reemplazado por Takajo).

• AllthingsTimesketch: un flujo de trabajo de NodeRED que importa resultados de Plaso y Hayabusa a Timesketch.
• LimaCharlie: proporciona infraestructura y herramientas de seguridad basadas en la nube que se adaptan a sus necesidades.
• OpenRelik: una plataforma de código abierto (Apache-2.0) diseñada para agilizar las investigaciones forenses digitales colaborativas.
• Splunk4DFIR: active rápidamente una instancia de Splunk con Docker para explorar registros y resultados de herramientas durante sus investigaciones.
• Velociraptor: una herramienta para recopilar información de estado basada en el host utilizando consultas Velociraptor Query Language (VQL).

• Acerca de Hayabusa
• Proyectos complementarios
• Proyectos de terceros que utilizan Hayabusa
  • Tabla de contenido
  • Objetivos principales
    • Búsqueda de amenazas y DFIR en toda la empresa
    • Generación rápida de líneas de tiempo forenses
• Capturas de pantalla
  • Puesta en marcha
  • Salida del terminal de línea de tiempo de DFIR
  • Resultados de búsqueda de palabras clave
  • Línea de tiempo de frecuencia de detección (opción -T )
  • Resumen de resultados
  • Resumen de resultados HTML (opción -H )
  • Análisis de línea de tiempo de DFIR en LibreOffice (salida multilínea -M )
  • Análisis de línea de tiempo de DFIR en Timeline Explorer
  • Filtrado de alertas críticas y agrupación de computadoras en Timeline Explorer
  • Análisis con el Elastic Stack Dashboard
  • Análisis en Timesketch
• Importación y análisis de resultados de la línea de tiempo
• Análisis de resultados con formato JSON con JQ
• Características
• Descargas
  • Paquetes de respuesta en vivo de Windows
• Clonación de Git
• Avanzado: compilar desde el código fuente (opcional)
  • Actualización de paquetes de Rust
  • Compilación cruzada de binarios de Windows de 32 bits
  • Notas de compilación de macOS
  • Notas de compilación de Linux
  • Compilación cruzada de binarios MUSL de Linux
• Corriendo Hayabusa
  • Precaución: Advertencias antivirus/EDR y tiempos de ejecución lentos
  • ventanas
    • Error al intentar escanear un archivo o directorio con un espacio en la ruta
  • linux
  • macos
• Lista de comandos
  • Comandos de análisis:
  • Comandos de la línea de tiempo de DFIR:
  • Comandos generales:
• Uso de comandos
  • Comandos de análisis
    • comando computer-metrics
      • ejemplos de comandos de computer-metrics
      • captura de pantalla computer-metrics
    • comando eid-metrics
      • ejemplos de comandos eid-metrics
      • archivo de configuración del comando eid-metrics
      • captura de pantalla eid-metrics
    • comando logon-summary
      • ejemplos de comandos logon-summary
      • capturas de pantalla logon-summary
    • comando pivot-keywords-list
      • ejemplos de comandos pivot-keywords-list
      • archivo de configuración pivot-keywords-list
    • comando search
      • ejemplos de comandos search
      • archivos de configuración del comando search
  • Comandos de línea de tiempo de DFIR
    • Asistente de escaneo
      • Reglas básicas
      • Reglas básicas+
      • Reglas básicas ++
      • Reglas complementarias de amenazas emergentes (ET)
      • Reglas complementarias de Threat Hunting (TH)
    • Registro de eventos basado en canales y filtrado de reglas
    • comando csv-timeline
      • ejemplos de comando csv-timeline
      • Avanzado: Enriquecimiento de registros GeoIP
        • Archivo de configuración GeoIP
        • Actualizaciones automáticas de bases de datos GeoIP
      • archivos de configuración del comando csv-timeline
    • comando json-timeline
      • Ejemplos de comandos json-timeline y archivos de configuración
    • comando level-tuning
      • ejemplos de comandos level-tuning
      • archivo de configuración level-tuning
    • comando list-profiles
    • comando set-default-profile
      • ejemplos del comando set-default-profile
    • comando update-rules
      • Ejemplo de comando de update-rules
• Salida de la línea de tiempo
  • Perfiles de salida
    • 1. salida de perfil minimal
    • 2. salida de perfil standard
    • 3. salida de perfil verbose
    • 4. salida del perfil de all-field-info
    • 5. salida de perfil all-field-info-verbose
    • 6. salida de perfil super-verbose
    • 7. salida de perfil timesketch-minimal
    • 8. Salida de perfil timesketch-verbose
    • Comparación de perfiles
    • Alias ​​de campo de perfil
      • Alias ​​de campos de perfil adicionales
  • Abreviaturas de nivel
  • Abreviaturas de tácticas MITRE ATT&CK
  • Abreviaturas de canales
  • Otras abreviaturas
  • Barra de progreso
  • Salida en color
  • Resumen de resultados
    • Cronograma de frecuencia de detección
• Reglas de Hayabusa
  • Reglas de Sigma vs Hayabusa (compatible con Sigma integrado)
• Otros analizadores de registros de eventos de Windows y recursos relacionados
• Recomendaciones de registro de Windows
• Proyectos relacionados con Sysmon
• Documentación comunitaria
  • Inglés
  • japonés
• Contribución
• Envío de errores
• Licencia
• Gorjeo

Actualmente, Hayabusa tiene más de 4000 reglas Sigma y más de 170 reglas de detección integradas de Hayabusa y se agregan más reglas periódicamente. Se puede utilizar para la búsqueda proactiva de amenazas en toda la empresa, así como para DFIR (Digital Forensics and Incident Response) de forma gratuita con el artefacto Hayabusa de Velociraptor. Al combinar estas dos herramientas de código abierto, esencialmente puede reproducir un SIEM de forma retroactiva cuando no hay una configuración de SIEM en el entorno. Puedes aprender cómo hacer esto viendo el tutorial sobre Velociraptor de Eric Capuano aquí.

El análisis del registro de eventos de Windows ha sido tradicionalmente un proceso muy largo y tedioso porque los registros de eventos de Windows están 1) en un formato de datos que es difícil de analizar y 2) la mayoría de los datos son ruido y no son útiles para las investigaciones. El objetivo de Hayabusa es extraer sólo datos útiles y presentarlos en un formato lo más conciso posible y fácil de leer que sea utilizable no sólo por analistas capacitados profesionalmente sino también por cualquier administrador de sistemas Windows. Hayabusa espera permitir a los analistas realizar el 80% de su trabajo en el 20% del tiempo en comparación con el análisis tradicional de registros de eventos de Windows.

Puede aprender a analizar líneas de tiempo CSV en Excel y Timeline Explorer aquí.

Puede aprender cómo importar archivos CSV al Elastic Stack aquí.

Puede aprender cómo importar archivos CSV a Timesketch aquí.

Puede aprender cómo analizar resultados con formato JSON con jq aquí.

• Soporte multiplataforma: Windows, Linux, macOS.
• Desarrollado en Rust para que la memoria sea rápida y segura.
• Soporte multiproceso que ofrece una mejora de velocidad de hasta 5 veces.
• Crea cronogramas únicos y fáciles de analizar para investigaciones forenses y respuesta a incidentes.
• Búsqueda de amenazas basada en firmas de IoC escritas en reglas hayabusa basadas en YML fáciles de leer, crear y editar.
• Soporte de reglas sigma para convertir reglas sigma en reglas hayabusa.
• Actualmente admite la mayor cantidad de reglas sigma en comparación con otras herramientas similares e incluso admite reglas de conteo y nuevos agregadores como |equalsfield y |endswithfield .
• Métricas informáticas. (Útil para filtrar ciertas computadoras con una gran cantidad de eventos).
• Métricas de identificación de eventos. (Útil para tener una idea de los tipos de eventos que existen y para ajustar la configuración de registro).
• Configuración de ajuste de reglas excluyendo reglas innecesarias o ruidosas.
• MITRE ATT&CK mapeo de tácticas.
• Ajuste del nivel de regla.
• Cree una lista de palabras clave dinámicas únicas para identificar rápidamente usuarios, nombres de host, procesos, etc. anormales, así como correlacionar eventos.
• Genere todos los campos para investigaciones más exhaustivas.
• Resumen de inicio de sesión exitoso y fallido.
• Búsqueda de amenazas en toda la empresa y DFIR en todos los puntos finales con Velociraptor.
• Salida a informes resumidos CSV, JSON/JSONL y HTML.
• Actualizaciones diarias de las reglas Sigma.
• Soporte para entrada de registros con formato JSON.
• Normalización del campo de registro. (Convertir varios campos con diferentes convenciones de nomenclatura en el mismo nombre de campo).
• Enriquecimiento de registros agregando información GeoIP (ASN, ciudad, país) a las direcciones IP.
• Busque en todos los eventos palabras clave o expresiones regulares.
• Mapeo de datos de campo. (Ejemplo: 0xc0000234 -> ACCOUNT LOCKED )
• Grabación de registros de Evtx desde evtx slack space.
• Deduplicación de eventos al generar. (Útil cuando los registros de recuperación están habilitados o cuando incluye archivos evtx respaldados, archivos evtx de VSS, etc.)
• Asistente de configuración de escaneo para ayudar a elegir qué reglas habilitar más fácilmente. (Para reducir falsos positivos, etc...)
• Análisis y extracción de campos de registro clásicos de PowerShell.
• Bajo uso de memoria. (Nota: esto es posible si no se ordenan los resultados. Lo mejor es ejecutarlo con agentes o big data).
• Filtrado por canales y reglas para un rendimiento más eficiente.

Descargue la última versión estable de Hayabusa con binarios compilados o compile el código fuente desde la página de Lanzamientos.

Proporcionamos binarios para las siguientes arquitecturas:

• Linux ARM GNU de 64 bits ( hayabusa-xxx-lin-aarch64-gnu )
• Linux Intel GNU de 64 bits ( hayabusa-xxx-lin-x64-gnu )
• Linux Intel MUSL de 64 bits ( hayabusa-xxx-lin-x64-musl )
• macOS ARM de 64 bits ( hayabusa-xxx-mac-aarch64 )
• macOS Intel de 64 bits ( hayabusa-xxx-mac-x64 )
• Windows ARM de 64 bits ( hayabusa-xxx-win-aarch64.exe )
• Windows Intel de 64 bits ( hayabusa-xxx-win-x64.exe )
• Windows Intel de 32 bits ( hayabusa-xxx-win-x86.exe )

Por alguna razón, el binario ARM MUSL de Linux no se ejecuta correctamente, por lo que no proporcionamos ese binario. Está fuera de nuestro control, por lo que planeamos brindarlo en el futuro cuando se solucione.

A partir de v2.18.0, proporcionamos paquetes especiales de Windows que utilizan reglas codificadas con XOR proporcionadas en un solo archivo, así como todos los archivos de configuración combinados en un solo archivo (alojado en el repositorio de reglas codificadas de hayabusa). Simplemente descargue los paquetes zip con live-response en el nombre. Los archivos zip solo incluyen tres archivos: el binario de Hayabusa, el archivo de reglas codificado en XOR y el archivo de configuración. El propósito de estos paquetes de respuesta en vivo es que, cuando ejecutamos Hayabusa en los puntos finales del cliente, queremos asegurarnos de que los escáneres antivirus como Windows Defender no den falsos positivos en los archivos de reglas .yml . Además, queremos minimizar la cantidad de archivos que se escriben en el sistema para que los artefactos forenses como el USN Journal no se sobrescriban.

Puedes git clone el repositorio con el siguiente comando y compilar el binario desde el código fuente:

Advertencia: La rama principal del repositorio es para fines de desarrollo, por lo que es posible que pueda acceder a nuevas funciones que aún no se han lanzado oficialmente; sin embargo, puede haber errores, así que considérelo inestable.

git clone https://github.com/Yamato-Security/hayabusa.git --recursive

Nota: Si olvida utilizar la opción --recursive, la carpeta rules , que se administra como un submódulo de git, no se clonará.

Puede sincronizar la carpeta rules y obtener las últimas reglas de Hayabusa con git pull --recurse-submodules o usar el siguiente comando:

hayabusa.exe update-rules

Si la actualización falla, es posible que deba cambiar el nombre de la carpeta rules e intentarlo nuevamente.

Precaución: Al actualizar, las reglas y los archivos de configuración en la carpeta rules se reemplazan con las reglas y archivos de configuración más recientes en el repositorio hayabusa-rules. Cualquier cambio que realice en los archivos existentes se sobrescribirá, por lo que le recomendamos que haga copias de seguridad de cualquier archivo que edite antes de actualizar. Si está realizando un ajuste de nivel con level-tuning , vuelva a ajustar sus archivos de reglas después de cada actualización. Si agrega nuevas reglas dentro de la carpeta rules , no se sobrescribirán ni eliminarán durante la actualización.

Si tiene Rust instalado, puede compilar desde el código fuente con el siguiente comando:

Nota: Para compilar, normalmente necesitas la última versión de Rust.

cargo build --release

Puede descargar la última versión inestable desde la rama principal o la última versión estable desde la página Lanzamientos.

Asegúrese de actualizar Rust periódicamente con:

rustup update stable

El binario compilado se generará en la carpeta ./target/release .

Puede actualizar a las últimas cajas de Rust antes de compilar:

cargo update

Háganos saber si algo se rompe después de actualizar.

Puede crear archivos binarios de 32 bits en sistemas Windows de 64 bits con lo siguiente:

rustup install stable-i686-pc-windows-msvc
rustup target add i686-pc-windows-msvc
rustup run stable-i686-pc-windows-msvc cargo build --release

Advertencia: asegúrese de ejecutar rustup install stable-i686-pc-windows-msvc siempre que haya una nueva versión estable de Rust, ya que rustup update stable no actualizará el compilador para la compilación cruzada y es posible que reciba errores de compilación.

Si recibe errores de compilación sobre openssl, deberá instalar Homebrew y luego instalar los siguientes paquetes:

brew install pkg-config
brew install openssl

Si recibe errores de compilación sobre openssl, deberá instalar el siguiente paquete.

Distribuciones basadas en Ubuntu:

sudo apt install libssl-dev

Distribuciones basadas en Fedora:

sudo yum install openssl-devel

En un sistema operativo Linux, primero instale el destino.

rustup install stable-x86_64-unknown-linux-musl
rustup target add x86_64-unknown-linux-musl

Compilar con:

cargo build --release --target=x86_64-unknown-linux-musl

Advertencia: asegúrese de ejecutar rustup install stable-x86_64-unknown-linux-musl siempre que haya una nueva versión estable de Rust, ya que rustup update stable no actualizará el compilador para la compilación cruzada y puede recibir errores de compilación.

El binario MUSL se creará en el directorio ./target/x86_64-unknown-linux-musl/release/ . Los binarios MUSL son aproximadamente un 15% más lentos que los binarios GNU; sin embargo, son más portátiles en diferentes versiones y distribuciones de Linux.

Es posible que reciba una alerta de productos antivirus o EDR cuando intente ejecutar hayabusa o incluso simplemente cuando descargue las reglas .yml , ya que habrá palabras clave como mimikatz y comandos sospechosos de PowerShell en la firma de detección. Estos son falsos positivos, por lo que deberá configurar exclusiones en sus productos de seguridad para permitir que hayabusa se ejecute. Si le preocupa el malware o los ataques a la cadena de suministro, verifique el código fuente de hayabusa y compile los binarios usted mismo.

Es posible que experimente un tiempo de ejecución lento, especialmente en la primera ejecución después de reiniciar, debido a la protección en tiempo real de Windows Defender. Puede evitar esto desactivando temporalmente la protección en tiempo real o agregando una exclusión al directorio de ejecución de hayabusa. (Tenga en cuenta los riesgos de seguridad antes de realizar esto).

En un símbolo del sistema/PowerShell o en una terminal de Windows, simplemente ejecute el binario de Windows apropiado de 32 o 64 bits.

Al utilizar el comando integrado o el indicador de PowerShell en Windows, es posible que reciba un error indicando que Hayabusa no pudo cargar ningún archivo .evtx si hay un espacio en la ruta de su archivo o directorio. Para cargar los archivos .evtx correctamente, asegúrese de hacer lo siguiente:

1. Encierre la ruta del archivo o directorio entre comillas dobles.
2. Si es una ruta de directorio, asegúrese de no incluir una barra invertida para el último carácter.

Primero necesitas hacer que el binario sea ejecutable.

chmod +x ./hayabusa

Luego ejecútelo desde el directorio raíz de Hayabusa:

./hayabusa

Desde Terminal o iTerm2, primero debe hacer que el binario sea ejecutable.

chmod +x ./hayabusa

Luego, intenta ejecutarlo desde el directorio raíz de Hayabusa:

./hayabusa

En la última versión de macOS, es posible que reciba el siguiente error de seguridad cuando intente ejecutarlo:

Haga clic en "Cancelar" y luego desde Preferencias del Sistema, abra "Seguridad y Privacidad" y desde la pestaña General, haga clic en "Permitir de todos modos".

Después de eso, intenta ejecutarlo nuevamente.

./hayabusa

Aparecerá la siguiente advertencia, así que haga clic en "Abrir".

Ahora deberías poder ejecutar hayabusa.

• computer-metrics : imprime el número de eventos según los nombres de las computadoras.
• eid-metrics : imprime el número y porcentaje de eventos según el ID del evento.
• logon-summary : imprime un resumen de los eventos de inicio de sesión.
• pivot-keywords-list : imprime una lista de palabras clave sospechosas sobre las que girar.
• search : busca todos los eventos por palabra clave o expresiones regulares

• csv-timeline : guarda la línea de tiempo en formato CSV.
• json-timeline : guarda la línea de tiempo en formato JSON/JSONL.
• level-tuning : ajuste personalizado el level de las alertas.
• list-profiles : enumera los perfiles de salida disponibles.
• set-default-profile : cambia el perfil predeterminado.
• update-rules : sincroniza las reglas con las reglas más recientes en el repositorio de GitHub de hayabusa-rules.

• help : imprime este mensaje o la ayuda de los subcomandos proporcionados.
• list-contributors : Imprime la lista de contribuyentes

Puede utilizar el comando computer-metrics para comprobar cuántos eventos hay según cada computadora definida en el campo <System><Computer> . Tenga en cuenta que no puede confiar completamente en el campo Computer para separar eventos según su computadora original. Windows 11 a veces utilizará nombres Computer completamente diferentes al guardar en registros de eventos. Además, Windows 10 a veces registrará el nombre Computer en minúsculas. Este comando no utiliza ninguna regla de detección, por lo que analizará todos los eventos. Este es un buen comando para ejecutar para ver rápidamente qué computadoras tienen la mayor cantidad de registros. Con esta información, puede usar las opciones --include-computer o --exclude-computer al crear sus líneas de tiempo para hacer que su generación de líneas de tiempo sea más eficiente al crear múltiples líneas de tiempo según la computadora o excluir eventos de ciertas computadoras.

 Usage: computer-metrics <INPUT> [OPTIONS]

Input:
  -d, --directory <DIR>  Directory of multiple .evtx files
  -f, --file <FILE>      File path to one .evtx file
  -l, --live-analysis    Analyze the local C:WindowsSystem32winevtLogs folder

General Options:
  -C, --clobber                        Overwrite files when saving
  -h, --help                           Show the help menu
  -J, --JSON-input                     Scan JSON formatted logs instead of .evtx (.json or .jsonl)
  -Q, --quiet-errors                   Quiet errors mode: do not save error logs
  -x, --recover-records                Carve evtx records from slack space (default: disabled)
  -c, --rules-config <DIR>             Specify custom rule config directory (default: ./rules/config)
      --target-file-ext <FILE-EXT...>  Specify additional evtx file extensions (ex: evtx_data)
  -t, --threads <NUMBER>               Number of threads (default: optimal number for performance)

Filtering:
      --timeline-offset <OFFSET>  Scan recent events based on an offset (ex: 1y, 3M, 30d, 24h, 30m)

Output:
  -o, --output <FILE>  Save the results in CSV format (ex: computer-metrics.csv)

Display Settings:
      --no-color  Disable color output
  -q, --quiet     Quiet mode: do not display the launch banner
  -v, --verbose   Output verbose information

• Imprima las métricas del nombre de la computadora desde un directorio: hayabusa.exe computer-metrics -d ../logs
• Guarde los resultados en un archivo CSV: hayabusa.exe computer-metrics -d ../logs -o computer-metrics.csv

Puede utilizar el comando eid-metrics para imprimir el número total y el porcentaje de ID de eventos (campo <System><EventID> ) separados por canales. Este comando no utiliza ninguna regla de detección, por lo que escaneará todos los eventos.

 Usage: eid-metrics <INPUT> [OPTIONS]

Input:
  -d, --directory <DIR>  Directory of multiple .evtx files
  -f, --file <FILE>      File path to one .evtx file
  -l, --live-analysis    Analyze the local C:WindowsSystem32winevtLogs folder

General Options:
  -C, --clobber                        Overwrite files when saving
  -h, --help                           Show the help menu
  -J, --JSON-input                     Scan JSON formatted logs instead of .evtx (.json or .jsonl)
  -Q, --quiet-errors                   Quiet errors mode: do not save error logs
  -x, --recover-records                Carve evtx records from slack space (default: disabled)
  -c, --rules-config <DIR>             Specify custom rule config directory (default: ./rules/config)
      --target-file-ext <FILE-EXT...>  Specify additional evtx file extensions (ex: evtx_data)
  -t, --threads <NUMBER>               Number of threads (default: optimal number for performance)

Filtering:
      --exclude-computer <COMPUTER...>  Do not scan specified computer names (ex: ComputerA) (ex: ComputerA,ComputerB)
      --include-computer <COMPUTER...>  Scan only specified computer names (ex: ComputerA) (ex: ComputerA,ComputerB)
      --timeline-offset <OFFSET>        Scan recent events based on an offset (ex: 1y, 3M, 30d, 24h, 30m)

Output:
  -o, --output <FILE>  Save the Metrics in CSV format (ex: metrics.csv)

Display Settings:
      --no-color  Disable color output
  -q, --quiet     Quiet mode: do not display the launch banner
  -v, --verbose   Output verbose information

Time Format:
      --European-time     Output timestamp in European time format (ex: 22-02-2022 22:00:00.123 +02:00)
      --ISO-8601          Output timestamp in ISO-8601 format (ex: 2022-02-22T10:10:10.1234567Z) (Always UTC)
      --RFC-2822          Output timestamp in RFC 2822 format (ex: Fri, 22 Feb 2022 22:00:00 -0600)
      --RFC-3339          Output timestamp in RFC 3339 format (ex: 2022-02-22 22:00:00.123456-06:00)
      --US-military-time  Output timestamp in US military time format (ex: 02-22-2022 22:00:00.123 -06:00)
      --US-time           Output timestamp in US time format (ex: 02-22-2022 10:00:00.123 PM -06:00)
  -U, --UTC               Output time in UTC format (default: local time)

• Imprima métricas de ID de evento desde un solo archivo: hayabusa.exe eid-metrics -f Security.evtx
• Imprima métricas de ID de evento desde un directorio: hayabusa.exe eid-metrics -d ../logs
• Guarde los resultados en un archivo CSV: hayabusa.exe eid-metrics -f Security.evtx -o eid-metrics.csv

El canal, los ID de eventos y los títulos de los eventos se definen en rules/config/channel_eid_info.txt .

Ejemplo:

 Channel,EventID,EventTitle
Microsoft-Windows-Sysmon/Operational,1,Process Creation.
Microsoft-Windows-Sysmon/Operational,2,File Creation Timestamp Changed. (Possible Timestomping)
Microsoft-Windows-Sysmon/Operational,3,Network Connection.
Microsoft-Windows-Sysmon/Operational,4,Sysmon Service State Changed.

Puede utilizar el comando logon-summary para generar un resumen de la información de inicio de sesión (nombres de usuario de inicio de sesión y recuento de inicios de sesión exitosos y fallidos). Puede mostrar la información de inicio de sesión para un archivo evtx con -f o varios archivos evtx con la opción -d .

 Usage: logon-summary <INPUT> [OPTIONS]

Input:
  -d, --directory <DIR>  Directory of multiple .evtx files
  -f, --file <FILE>      File path to one .evtx file
  -l, --live-analysis    Analyze the local C:WindowsSystem32winevtLogs folder

General Options:
  -C, --clobber                        Overwrite files when saving
  -h, --help                           Show the help menu
  -J, --JSON-input                     Scan JSON formatted logs instead of .evtx (.json or .jsonl)
  -Q, --quiet-errors                   Quiet errors mode: do not save error logs
  -x, --recover-records                Carve evtx records from slack space (default: disabled)
  -c, --rules-config <DIR>             Specify custom rule config directory (default: ./rules/config)
      --target-file-ext <FILE-EXT...>  Specify additional evtx file extensions (ex: evtx_data)
  -t, --threads <NUMBER>               Number of threads (default: optimal number for performance)

Filtering:
      --exclude-computer <COMPUTER...>  Do not scan specified computer names (ex: ComputerA) (ex: ComputerA,ComputerB)
      --include-computer <COMPUTER...>  Scan only specified computer names (ex: ComputerA) (ex: ComputerA,ComputerB)
      --timeline-end <DATE>             End time of the event logs to load (ex: "2022-02-22 23:59:59 +09:00")
      --timeline-offset <OFFSET>        Scan recent events based on an offset (ex: 1y, 3M, 30d, 24h, 30m)
      --timeline-start <DATE>           Start time of the event logs to load (ex: "2020-02-22 00:00:00 +09:00")

Output:
  -o, --output <FILENAME-PREFIX>  Save the logon summary to two CSV files (ex: -o logon-summary)

Display Settings:
      --no-color  Disable color output
  -q, --quiet     Quiet mode: do not display the launch banner
  -v, --verbose   Output verbose information

Time Format:
      --European-time     Output timestamp in European time format (ex: 22-02-2022 22:00:00.123 +02:00)
      --ISO-8601          Output timestamp in ISO-8601 format (ex: 2022-02-22T10:10:10.1234567Z) (Always UTC)
      --RFC-2822          Output timestamp in RFC 2822 format (ex: Fri, 22 Feb 2022 22:00:00 -0600)
      --RFC-3339          Output timestamp in RFC 3339 format (ex: 2022-02-22 22:00:00.123456-06:00)
      --US-military-time  Output timestamp in US military time format (ex: 02-22-2022 22:00:00.123 -06:00)
      --US-time           Output timestamp in US time format (ex: 02-22-2022 10:00:00.123 PM -06:00)
  -U, --UTC               Output time in UTC format (default: local time)

• Imprimir resumen de inicio de sesión: hayabusa.exe logon-summary -f Security.evtx
• Guardar resultados resumidos de inicio de sesión: hayabusa.exe logon-summary -d ../logs -o logon-summary.csv

Puede utilizar el comando pivot-keywords-list para crear una lista de palabras clave dinámicas únicas para identificar rápidamente usuarios, nombres de host, procesos, etc. anormales, así como correlacionar eventos.

Importante: de forma predeterminada, hayabusa devolverá resultados de todos los eventos (informativos y superiores), por lo que recomendamos combinar el comando pivot-keywords-list con la opción -m, --min-level . Por ejemplo, comience creando únicamente palabras clave a partir de alertas critical con -m critical y luego continúe con -m high , -m medium , etc... Lo más probable es que haya palabras clave comunes en sus resultados que coincidan en muchos eventos normales. entonces, después de verificar manualmente los resultados y crear una lista de palabras clave únicas en un solo archivo, puede crear una línea de tiempo reducida de actividad sospechosa con un comando como grep -f keywords.txt timeline.csv .

 Usage: pivot-keywords-list <INPUT> [OPTIONS]

Input:
  -d, --directory <DIR>  Directory of multiple .evtx files
  -f, --file <FILE>      File path to one .evtx file
  -l, --live-analysis    Analyze the local C:WindowsSystem32winevtLogs folder

General Options:
  -C, --clobber                        Overwrite files when saving
  -h, --help                           Show the help menu
  -J, --JSON-input                     Scan JSON formatted logs instead of .evtx (.json or .jsonl)
  -w, --no-wizard                      Do not ask questions. Scan for all events and alerts
  -Q, --quiet-errors                   Quiet errors mode: do not save error logs
  -x, --recover-records                Carve evtx records from slack space (default: disabled)
  -c, --rules-config <DIR>             Specify custom rule config directory (default: ./rules/config)
      --target-file-ext <FILE-EXT...>  Specify additional evtx file extensions (ex: evtx_data)
  -t, --threads <NUMBER>               Number of threads (default: optimal number for performance)

Filtering:
  -E, --EID-filter                      Scan only common EIDs for faster speed (./rules/config/target_event_IDs.txt)
  -D, --enable-deprecated-rules         Enable rules with a status of deprecated
  -n, --enable-noisy-rules              Enable rules set to noisy (./rules/config/noisy_rules.txt)
  -u, --enable-unsupported-rules        Enable rules with a status of unsupported
  -e, --exact-level <LEVEL>             Only load rules with a specific level (informational, low, medium, high, critical)
      --exclude-computer <COMPUTER...>  Do not scan specified computer names (ex: ComputerA) (ex: ComputerA,ComputerB)
      --exclude-eid <EID...>            Do not scan specific EIDs for faster speed (ex: 1) (ex: 1,4688)
      --exclude-status <STATUS...>      Do not load rules according to status (ex: experimental) (ex: stable,test)
      --exclude-tag <TAG...>            Do not load rules with specific tags (ex: sysmon)
      --include-computer <COMPUTER...>  Scan only specified computer names (ex: ComputerA) (ex: ComputerA,ComputerB)
      --include-eid <EID...>            Scan only specified EIDs for faster speed (ex: 1) (ex: 1,4688)
      --include-status <STATUS...>      Only load rules with specific status (ex: experimental) (ex: stable,test)
      --include-tag <TAG...>            Only load rules with specific tags (ex: attack.execution,attack.discovery)
  -m, --min-level <LEVEL>               Minimum level for rules to load (default: informational)
      --timeline-end <DATE>             End time of the event logs to load (ex: "2022-02-22 23:59:59 +09:00")
      --timeline-offset <OFFSET>        Scan recent events based on an offset (ex: 1y, 3M, 30d, 24h, 30m)
      --timeline-start <DATE>           Start time of the event logs to load (ex: "2020-02-22 00:00:00 +09:00")

Output:
  -o, --output <FILENAME-PREFIX>  Save pivot words to separate files (ex: PivotKeywords)

Display Settings:
      --no-color  Disable color output
  -q, --quiet     Quiet mode: do not display the launch banner
  -v, --verbose   Output verbose information

• Salida de palabras clave dinámicas a la pantalla: hayabusa.exe pivot-keywords-list -d ../logs -m critical
• Cree una lista de palabras clave dinámicas a partir de alertas críticas y guarde los resultados. (Los resultados se guardarán en keywords-Ip Addresses.txt , keywords-Users.txt , etc.):

 hayabusa.exe pivot-keywords-list -d ../logs -m critical -o keywords`

Puede personalizar las palabras clave que desea buscar editando ./rules/config/pivot_keywords.txt . Esta página es la configuración predeterminada.

El formato es KeywordName.FieldName . Por ejemplo, al crear la lista de Users , hayabusa enumerará todos los valores en los campos SubjectUserName , TargetUserName y User .

El comando search le permitirá buscar palabras clave en todos los eventos. (No solo los resultados de detección de Hayabusa). Esto es útil para determinar si hay alguna evidencia en eventos que no son detectados por Hayabusa.

 Usage: hayabusa.exe search <INPUT> <--keywords "<KEYWORDS>" OR --regex "<REGEX>"> [OPTIONS]

Display Settings:
      --no-color  Disable color output
  -q, --quiet     Quiet mode: do not display the launch banner
  -v, --verbose   Output verbose information

General Options:
  -C, --clobber                        Overwrite files when saving
  -h, --help                           Show the help menu
  -Q, --quiet-errors                   Quiet errors mode: do not save error logs
  -x, --recover-records                Carve evtx records from slack space (default: disabled)
  -c, --rules-config <DIR>             Specify custom rule config directory (default: ./rules/config)
      --target-file-ext <FILE-EXT...>  Specify additional evtx file extensions (ex: evtx_data)
  -t, --threads <NUMBER>               Number of threads (default: optimal number for performance)

Input:
  -d, --directory <DIR>  Directory of multiple .evtx files
  -f, --file <FILE>      File path to one .evtx file
  -l, --live-analysis    Analyze the local C:WindowsSystem32winevtLogs folder

Filtering:
  -a, --and-logic                 Search keywords with AND logic (default: OR)
  -F, --filter <FILTER...>        Filter by specific field(s)
  -i, --ignore-case               Case-insensitive keyword search
  -k, --keyword <KEYWORD...>      Search by keyword(s)
  -r, --regex <REGEX>             Search by regular expression
      --timeline-offset <OFFSET>  Scan recent events based on an offset (ex: 1y, 3M, 30d, 24h, 30m)

Output:
  -J, --JSON-output    Save the search results in JSON format (ex: -J -o results.json)
  -L, --JSONL-output   Save the search results in JSONL format (ex: -L -o results.jsonl)
  -M, --multiline      Output event field information in multiple rows for CSV output
  -o, --output <FILE>  Save the search results in CSV format (ex: search.csv)

Time Format:
      --European-time     Output timestamp in European time format (ex: 22-02-2022 22:00:00.123 +02:00)
      --ISO-8601          Output timestamp in ISO-8601 format (ex: 2022-02-22T10:10:10.1234567Z) (Always UTC)
      --RFC-2822          Output timestamp in RFC 2822 format (ex: Fri, 22 Feb 2022 22:00:00 -0600)
      --RFC-3339          Output timestamp in RFC 3339 format (ex: 2022-02-22 22:00:00.123456-06:00)
      --US-military-time  Output timestamp in US military time format (ex: 02-22-2022 22:00:00.123 -06:00)
      --US-time           Output timestamp in US time format (ex: 02-22-2022 10:00:00.123 PM -06:00)
  -U, --UTC               Output time in UTC format (default: local time)

• Busque en el directorio ../hayabusa-sample-evtx la palabra clave mimikatz :