hayabusa

Hayabusa es un generador de línea de tiempo forense rápido de registro de eventos de Windows y una herramienta de búsqueda de amenazas creada por el grupo Yamato Security en Japón. Hayabusa significa "halcón peregrino" en japonés y fue elegido porque los halcones peregrinos son el animal más rápido del mundo, excelentes para la caza y altamente entrenables. Está escrito en Rust y admite subprocesos múltiples para ser lo más rápido posible. Hemos proporcionado una herramienta para convertir las reglas de Sigma al formato de reglas de Hayabusa. Las reglas de detección de Hayabusa compatibles con Sigma están escritas en YML para que sean lo más fácilmente personalizables y extensibles posible. Hayabusa se puede ejecutar en sistemas en ejecución únicos para análisis en vivo, recopilando registros de uno o varios sistemas para análisis fuera de línea, o ejecutando el artefacto Hayabusa con Velociraptor para la búsqueda de amenazas y respuesta a incidentes en toda la empresa. El resultado se consolidará en una única línea de tiempo CSV para facilitar el análisis en LibreOffice, Timeline Explorer, Elastic Stack, Timesketch, etc.

• EnableWindowsLogSettings: documentación y scripts para habilitar correctamente los registros de eventos de Windows.
• Reglas codificadas de Hayabusa: lo mismo que el repositorio de reglas de Hayabusa, pero las reglas y los archivos de configuración se almacenan en un solo archivo y se realizan XOR para evitar falsos positivos del antivirus.
• Reglas de Hayabusa: Hayabusa y las reglas de detección seleccionadas de Sigma utilizaron Hayabusa.
• Hayabusa EVTX: una bifurcación más mantenida de la caja evtx .
• EVTX de muestra de Hayabusa: archivos evtx de muestra que se utilizarán para probar las reglas de detección de hayabusa/sigma.
• Presentaciones - Presentaciones de charlas que hemos dado sobre nuestras herramientas y recursos.
• Convertidor de Sigma a Hayabusa: cura las reglas Sigma basadas en el registro de eventos de Windows en una forma más fácil de usar.
• Takajo: un analizador de resultados de hayabusa.
• WELA (Analizador de registros de eventos de Windows): un analizador de registros de eventos de Windows escritos en PowerShell. (Obsoleto y reemplazado por Takajo).

• AllthingsTimesketch: un flujo de trabajo de NodeRED que importa resultados de Plaso y Hayabusa a Timesketch.
• LimaCharlie: proporciona infraestructura y herramientas de seguridad basadas en la nube que se adaptan a sus necesidades.
• OpenRelik: una plataforma de código abierto (Apache-2.0) diseñada para agilizar las investigaciones forenses digitales colaborativas.
• Splunk4DFIR: active rápidamente una instancia de Splunk con Docker para explorar registros y resultados de herramientas durante sus investigaciones.
• Velociraptor: una herramienta para recopilar información de estado basada en el host utilizando consultas Velociraptor Query Language (VQL).

• Acerca de Hayabusa
• Proyectos complementarios
• Proyectos de terceros que utilizan Hayabusa
  • Tabla de contenido
  • Objetivos principales
    • Búsqueda de amenazas y DFIR en toda la empresa
    • Generación rápida de líneas de tiempo forenses
• Capturas de pantalla
  • Puesta en marcha
  • Salida del terminal de línea de tiempo de DFIR
  • Resultados de búsqueda de palabras clave
  • Línea de tiempo de frecuencia de detección (opción -T )
  • Resumen de resultados
  • Resumen de resultados HTML (opción -H )
  • Análisis de línea de tiempo de DFIR en LibreOffice (salida multilínea -M )
  • Análisis de línea de tiempo de DFIR en Timeline Explorer
  • Filtrado de alertas críticas y agrupación de computadoras en Timeline Explorer
  • Análisis con el Elastic Stack Dashboard
  • Análisis en Timesketch
• Importación y análisis de resultados de la línea de tiempo
• Análisis de resultados con formato JSON con JQ
• Características
• Descargas
  • Paquetes de respuesta en vivo de Windows
• Clonación de Git
• Avanzado: compilar desde el código fuente (opcional)
  • Actualización de paquetes de Rust
  • Compilación cruzada de binarios de Windows de 32 bits
  • Notas de compilación de macOS
  • Notas de compilación de Linux
  • Compilación cruzada de binarios MUSL de Linux
• Corriendo Hayabusa
  • Precaución: Advertencias antivirus/EDR y tiempos de ejecución lentos
  • ventanas
    • Error al intentar escanear un archivo o directorio con un espacio en la ruta
  • linux
  • macos
• Lista de comandos
  • Comandos de análisis:
  • Comandos de la línea de tiempo de DFIR:
  • Comandos generales:
• Uso de comandos
  • Comandos de análisis
    • comando computer-metrics
      • ejemplos de comandos de computer-metrics
      • captura de pantalla computer-metrics
    • comando eid-metrics
      • ejemplos de comandos eid-metrics
      • archivo de configuración del comando eid-metrics
      • captura de pantalla eid-metrics
    • comando logon-summary
      • ejemplos de comandos logon-summary
      • capturas de pantalla logon-summary
    • comando pivot-keywords-list
      • ejemplos de comandos pivot-keywords-list
      • archivo de configuración pivot-keywords-list
    • comando search
      • ejemplos de comandos search
      • archivos de configuración del comando search
  • Comandos de línea de tiempo de DFIR
    • Asistente de escaneo
      • Reglas básicas
      • Reglas básicas+
      • Reglas básicas ++
      • Reglas complementarias de amenazas emergentes (ET)
      • Reglas complementarias de Threat Hunting (TH)
    • Registro de eventos basado en canales y filtrado de reglas
    • comando csv-timeline
      • ejemplos de comando csv-timeline
      • Avanzado: Enriquecimiento de registros GeoIP
        • Archivo de configuración GeoIP
        • Actualizaciones automáticas de bases de datos GeoIP
      • archivos de configuración del comando csv-timeline
    • comando json-timeline
      • Ejemplos de comandos json-timeline y archivos de configuración
    • comando level-tuning
      • ejemplos de comandos level-tuning
      • archivo de configuración level-tuning
    • comando list-profiles
    • comando set-default-profile
      • ejemplos del comando set-default-profile
    • comando update-rules
      • Ejemplo de comando de update-rules
• Salida de la línea de tiempo
  • Perfiles de salida
    • 1. salida de perfil minimal
    • 2. salida de perfil standard
    • 3. salida de perfil verbose
    • 4. salida del perfil de all-field-info
    • 5. salida de perfil all-field-info-verbose
    • 6. salida de perfil super-verbose
    • 7. salida de perfil timesketch-minimal
    • 8. Salida del perfil timesketch-verbose
    • Comparación de perfiles
    • Alias ​​de campo de perfil
      • Alias ​​de campos de perfil adicionales
  • Abreviaturas de nivel
  • Abreviaturas de tácticas MITRE ATT&CK
  • Abreviaturas de canales
  • Otras abreviaturas
  • Barra de progreso
  • Salida en color
  • Resumen de resultados
    • Cronograma de frecuencia de detección
• Reglas de Hayabusa
  • Reglas de Sigma vs Hayabusa (compatible con Sigma integrado)
• Otros analizadores de registros de eventos de Windows y recursos relacionados
• Recomendaciones de registro de Windows
• Proyectos relacionados con Sysmon
• Documentación comunitaria
  • Inglés
  • japonés
• Contribución
• Envío de errores
• Licencia
• Gorjeo

Actualmente, Hayabusa tiene más de 4000 reglas Sigma y más de 170 reglas de detección integradas de Hayabusa y se agregan más reglas periódicamente. Se puede utilizar para la búsqueda proactiva de amenazas en toda la empresa, así como para DFIR (Digital Forensics and Incident Response) de forma gratuita con el artefacto Hayabusa de Velociraptor. Al combinar estas dos herramientas de código abierto, esencialmente puede reproducir un SIEM de forma retroactiva cuando no hay una configuración de SIEM en el entorno. Puede aprender cómo hacer esto viendo el tutorial sobre Velociraptor de Eric Capuano aquí.

El análisis del registro de eventos de Windows ha sido tradicionalmente un proceso muy largo y tedioso porque los registros de eventos de Windows están 1) en un formato de datos que es difícil de analizar y 2) la mayoría de los datos son ruido y no son útiles para las investigaciones. El objetivo de Hayabusa es extraer sólo datos útiles y presentarlos en un formato lo más conciso posible y fácil de leer que sea utilizable no sólo por analistas capacitados profesionalmente sino también por cualquier administrador de sistemas Windows. Hayabusa espera permitir a los analistas realizar el 80% de su trabajo en el 20% del tiempo en comparación con el análisis tradicional de registros de eventos de Windows.

Puede aprender a analizar líneas de tiempo CSV en Excel y Timeline Explorer aquí.

Puede aprender cómo importar archivos CSV al Elastic Stack aquí.

Puede aprender cómo importar archivos CSV a Timesketch aquí.

Puede aprender cómo analizar resultados con formato JSON con jq aquí.

• Soporte multiplataforma: Windows, Linux, macOS.
• Desarrollado en Rust para que la memoria sea rápida y segura.
• Soporte multiproceso que ofrece una mejora de velocidad de hasta 5 veces.
• Crea cronogramas únicos y fáciles de analizar para investigaciones forenses y respuesta a incidentes.
• Búsqueda de amenazas basada en firmas de IoC escritas en reglas hayabusa basadas en YML fáciles de leer, crear y editar.
• Soporte de reglas sigma para convertir reglas sigma en reglas hayabusa.
• Actualmente admite la mayor cantidad de reglas sigma en comparación con otras herramientas similares e incluso admite reglas de conteo y nuevos agregadores como |equalsfield y |endswithfield .
• Métricas informáticas. (Útil para filtrar ciertas computadoras con una gran cantidad de eventos).
• Métricas de identificación de eventos. (Útil para tener una idea de los tipos de eventos que existen y para ajustar la configuración de registro).
• Configuración de ajuste de reglas excluyendo reglas innecesarias o ruidosas.
• MITRE ATT&CK mapeo de tácticas.
• Ajuste del nivel de regla.
• Cree una lista de palabras clave dinámicas únicas para identificar rápidamente usuarios, nombres de host, procesos, etc. anormales, así como correlacionar eventos.
• Genere todos los campos para investigaciones más exhaustivas.
• Resumen de inicio de sesión exitoso y fallido.
• Búsqueda de amenazas en toda la empresa y DFIR en todos los puntos finales con Velociraptor.
• Salida a informes resumidos CSV, JSON/JSONL y HTML.
• Actualizaciones diarias de las reglas Sigma.
• Soporte para entrada de registros con formato JSON.
• Normalización del campo de registro. (Convertir varios campos con diferentes convenciones de nomenclatura en el mismo nombre de campo).
• Enriquecimiento de registros agregando información GeoIP (ASN, ciudad, país) a las direcciones IP.
• Busque en todos los eventos palabras clave o expresiones regulares.
• Mapeo de datos de campo. (Ejemplo: 0xc0000234 -> ACCOUNT LOCKED )
• Grabación de registros de Evtx desde evtx slack space.
• Deduplicación de eventos al generar. (Útil cuando los registros de recuperación están habilitados o cuando incluye archivos evtx respaldados, archivos evtx de VSS, etc.)
• Asistente de configuración de escaneo para ayudar a elegir qué reglas habilitar más fácilmente. (Para reducir falsos positivos, etc...)
• Análisis y extracción de campos de registro clásicos de PowerShell.
• Bajo uso de memoria. (Nota: esto es posible si no se ordenan los resultados. Es mejor para ejecutar en agentes o big data).
• Filtrado por canales y reglas para un rendimiento más eficiente.

Descargue la última versión estable de Hayabusa con binarios compilados o compile el código fuente desde la página de Lanzamientos.

Proporcionamos binarios para las siguientes arquitecturas:

• Linux ARM GNU de 64 bits ( hayabusa-xxx-lin-aarch64-gnu )
• Linux Intel de 64 bits GNU ( hayabusa-xxx-lin-x64-gnu )
• Linux Intel MUSL de 64 bits ( hayabusa-xxx-lin-x64-musl )
• macOS ARM de 64 bits ( hayabusa-xxx-mac-aarch64 )
• macOS Intel de 64 bits ( hayabusa-xxx-mac-x64 )
• Windows ARM de 64 bits ( hayabusa-xxx-win-aarch64.exe )
• Windows Intel de 64 bits ( hayabusa-xxx-win-x64.exe )
• Windows Intel de 32 bits ( hayabusa-xxx-win-x86.exe )

Por alguna razón, el binario ARM MUSL de Linux no se ejecuta correctamente, por lo que no proporcionamos ese binario. Está fuera de nuestro control, por lo que planeamos brindarlo en el futuro cuando se solucione.

A partir de v2.18.0, proporcionamos paquetes especiales de Windows que utilizan reglas codificadas con XOR proporcionadas en un solo archivo, así como todos los archivos de configuración combinados en un solo archivo (alojado en el repositorio de reglas codificadas de hayabusa). Simplemente descargue los paquetes zip con live-response en el nombre. Los archivos zip solo incluyen tres archivos: el binario Hayabusa, el archivo de reglas codificado en XOR y el archivo de configuración. El propósito de estos paquetes de respuesta en vivo es que, cuando ejecutamos Hayabusa en los puntos finales del cliente, queremos asegurarnos de que los escáneres antivirus como Windows Defender no den falsos positivos en los archivos de reglas .yml . Además, queremos minimizar la cantidad de archivos que se escriben en el sistema para que los artefactos forenses como el USN Journal no se sobrescriban.

Puedes git clone el repositorio con el siguiente comando y compilar el binario desde el código fuente:

Advertencia: La rama principal del repositorio es para fines de desarrollo, por lo que es posible que pueda acceder a nuevas funciones que aún no se han lanzado oficialmente; sin embargo, puede haber errores, así que considérelo inestable.

git clone https://github.com/Yamato-Security/hayabusa.git --recursive

Nota: Si olvida utilizar la opción --recursive, la carpeta rules , que se administra como un submódulo de git, no se clonará.

Puede sincronizar la carpeta rules y obtener las últimas reglas de Hayabusa con git pull --recurse-submodules o usar el siguiente comando:

hayabusa.exe update-rules

Si la actualización falla, es posible que deba cambiar el nombre de la carpeta rules e intentarlo nuevamente.

Precaución: Al actualizar, las reglas y los archivos de configuración en la carpeta rules se reemplazan con las reglas y archivos de configuración más recientes en el repositorio hayabusa-rules. Cualquier cambio que realice en los archivos existentes se sobrescribirá, por lo que le recomendamos que haga copias de seguridad de cualquier archivo que edite antes de actualizar. Si está realizando un ajuste de nivel con level-tuning , vuelva a ajustar sus archivos de reglas después de cada actualización. Si agrega nuevas reglas dentro de la carpeta rules , no se sobrescribirán ni eliminarán durante la actualización.

Si tiene Rust instalado, puede compilar desde el código fuente con el siguiente comando:

Nota: Para compilar, normalmente necesitas la última versión de Rust.

cargo build --release

Puede descargar la última versión inestable desde la rama principal o la última versión estable desde la página de Lanzamientos.

Asegúrese de actualizar Rust periódicamente con:

rustup update stable

El binario compilado se generará en la carpeta ./target/release .

Puede actualizar a las últimas cajas de Rust antes de compilar:

cargo update

Háganos saber si algo se rompe después de actualizar.

Puede crear archivos binarios de 32 bits en sistemas Windows de 64 bits con lo siguiente:

rustup install stable-i686-pc-windows-msvc
rustup target add i686-pc-windows-msvc
rustup run stable-i686-pc-windows-msvc cargo build --release

Advertencia: asegúrese de ejecutar rustup install stable-i686-pc-windows-msvc siempre que haya una nueva versión estable de Rust, ya que rustup update stable no actualizará el compilador para la compilación cruzada y puede recibir errores de compilación.

Si recibe errores de compilación sobre openssl, deberá instalar Homebrew y luego instalar los siguientes paquetes:

brew install pkg-config
brew install openssl

Si recibe errores de compilación sobre openssl, deberá instalar el siguiente paquete.

Distribuciones basadas en Ubuntu:

sudo apt install libssl-dev

Distribuciones basadas en Fedora:

sudo yum install openssl-devel

En un sistema operativo Linux, primero instale el destino.

rustup install stable-x86_64-unknown-linux-musl
rustup target add x86_64-unknown-linux-musl

Compilar con:

cargo build --release --target=x86_64-unknown-linux-musl

Advertencia: asegúrese de ejecutar rustup install stable-x86_64-unknown-linux-musl siempre que haya una nueva versión estable de Rust, ya que rustup update stable no actualizará el compilador para la compilación cruzada y puede recibir errores de compilación.

El binario MUSL se creará en el directorio ./target/x86_64-unknown-linux-musl/release/ . Los binarios MUSL son aproximadamente un 15% más lentos que los binarios GNU; sin embargo, son más portátiles en diferentes versiones y distribuciones de Linux.

Es posible que reciba una alerta de productos antivirus o EDR cuando intente ejecutar hayabusa o incluso simplemente cuando descargue las reglas .yml , ya que habrá palabras clave como mimikatz y comandos sospechosos de PowerShell en la firma de detección. Estos son falsos positivos, por lo que deberá configurar exclusiones en sus productos de seguridad para permitir que hayabusa se ejecute. Si le preocupa el malware o los ataques a la cadena de suministro, verifique el código fuente de hayabusa y compile los binarios usted mismo.

Es posible que experimente un tiempo de ejecución lento, especialmente en la primera ejecución después de reiniciar, debido a la protección en tiempo real de Windows Defender. Puede evitar esto desactivando temporalmente la protección en tiempo real o agregando una exclusión al directorio de ejecución de hayabusa. (Tenga en cuenta los riesgos de seguridad antes de realizar esto).

En un símbolo del sistema/PowerShell o en una terminal de Windows, simplemente ejecute el binario de Windows apropiado de 32 o 64 bits.

Al utilizar el comando integrado o el símbolo de PowerShell en Windows, es posible que reciba un error indicando que Hayabusa no pudo cargar ningún archivo .evtx si hay un espacio en la ruta de su archivo o directorio. Para cargar los archivos .evtx correctamente, asegúrese de hacer lo siguiente:

1. Encierre la ruta del archivo o directorio entre comillas dobles.
2. Si es una ruta de directorio, asegúrese de no incluir una barra invertida para el último carácter.

Primero necesitas hacer que el binario sea ejecutable.

chmod +x ./hayabusa

Luego ejecútelo desde el directorio raíz de Hayabusa:

./hayabusa

Desde Terminal o iTerm2, primero debe hacer que el binario sea ejecutable.

chmod +x ./hayabusa

Luego, intenta ejecutarlo desde el directorio raíz de Hayabusa:

./hayabusa

En la última versión de macOS, es posible que reciba el siguiente error de seguridad cuando intente ejecutarlo:

Haga clic en "Cancelar" y luego desde Preferencias del Sistema, abra "Seguridad y Privacidad" y desde la pestaña General, haga clic en "Permitir de todos modos".

Después de eso, intenta ejecutarlo nuevamente.

./hayabusa

Aparecerá la siguiente advertencia, así que haga clic en "Abrir".

Ahora deberías poder ejecutar hayabusa.

• computer-metrics : imprime el número de eventos según los nombres de las computadoras.
• eid-metrics : imprime el número y porcentaje de eventos según el ID del evento.
• logon-summary : imprime un resumen de los eventos de inicio de sesión.
• pivot-keywords-list : imprime una lista de palabras clave sospechosas sobre las que girar.
• search : busca todos los eventos por palabra clave o expresiones regulares

• csv-timeline : guarda la línea de tiempo en formato CSV.
• json-timeline : guarda la línea de tiempo en formato JSON/JSONL.
• level-tuning : ajuste personalizado del level de las alertas.
• list-profiles : enumera los perfiles de salida disponibles.
• set-default-profile : cambia el perfil predeterminado.
• update-rules : sincroniza las reglas con las reglas más recientes en el repositorio de GitHub de hayabusa-rules.

• help : imprime este mensaje o la ayuda de los subcomandos proporcionados.
• list-contributors : imprime la lista de contribuyentes

Puede utilizar el comando computer-metrics para comprobar cuántos eventos hay según cada computadora definida en el campo . Tenga en cuenta que no puede confiar completamente en el campo Computer para separar eventos según su computadora original. Windows 11 a veces utilizará nombres Computer completamente diferentes al guardar en registros de eventos. Además, Windows 10 a veces registrará el nombre Computer en minúsculas. Este comando no utiliza ninguna regla de detección, por lo que analizará todos los eventos. Este es un buen comando para ejecutar para ver rápidamente qué computadoras tienen la mayor cantidad de registros. Con esta información, puede usar las opciones --include-computer o --exclude-computer al crear sus líneas de tiempo para hacer que su generación de líneas de tiempo sea más eficiente al crear múltiples líneas de tiempo según la computadora o excluir eventos de ciertas computadoras.

 Usage: computer-metrics  [OPTIONS]

Input:
  -d, --directory   Directory of multiple .evtx files
  -f, --file       File path to one .evtx file
  -l, --live-analysis    Analyze the local C:WindowsSystem32winevtLogs folder

General Options:
  -C, --clobber                        Overwrite files when saving
  -h, --help                           Show the help menu
  -J, --JSON-input                     Scan JSON formatted logs instead of .evtx (.json or .jsonl)
  -Q, --quiet-errors                   Quiet errors mode: do not save error logs
  -x, --recover-records                Carve evtx records from slack space (default: disabled)
  -c, --rules-config              Specify custom rule config directory (default: ./rules/config)
      --target-file-ext   Specify additional evtx file extensions (ex: evtx_data)
  -t, --threads                Number of threads (default: optimal number for performance)

Filtering:
      --timeline-offset   Scan recent events based on an offset (ex: 1y, 3M, 30d, 24h, 30m)

Output:
  -o, --output   Save the results in CSV format (ex: computer-metrics.csv)

Display Settings:
      --no-color  Disable color output
  -q, --quiet     Quiet mode: do not display the launch banner
  -v, --verbose   Output verbose information

• Imprima las métricas del nombre de la computadora desde un directorio: hayabusa.exe computer-metrics -d ../logs
• Guarde los resultados en un archivo CSV: hayabusa.exe computer-metrics -d ../logs -o computer-metrics.csv

Puede utilizar el comando eid-metrics para imprimir el número total y el porcentaje de ID de eventos (campo ) separados por canales. Este comando no utiliza ninguna regla de detección, por lo que escaneará todos los eventos.

 Usage: eid-metrics  [OPTIONS]

Input:
  -d, --directory   Directory of multiple .evtx files
  -f, --file       File path to one .evtx file
  -l, --live-analysis    Analyze the local C:WindowsSystem32winevtLogs folder

General Options:
  -C, --clobber                        Overwrite files when saving
  -h, --help                           Show the help menu
  -J, --JSON-input                     Scan JSON formatted logs instead of .evtx (.json or .jsonl)
  -Q, --quiet-errors                   Quiet errors mode: do not save error logs
  -x, --recover-records                Carve evtx records from slack space (default: disabled)
  -c, --rules-config              Specify custom rule config directory (default: ./rules/config)
      --target-file-ext   Specify additional evtx file extensions (ex: evtx_data)
  -t, --threads                Number of threads (default: optimal number for performance)

Filtering:
      --exclude-computer   Do not scan specified computer names (ex: ComputerA) (ex: ComputerA,ComputerB)
      --include-computer   Scan only specified computer names (ex: ComputerA) (ex: ComputerA,ComputerB)
      --timeline-offset         Scan recent events based on an offset (ex: 1y, 3M, 30d, 24h, 30m)

Output:
  -o, --output   Save the Metrics in CSV format (ex: metrics.csv)

Display Settings:
      --no-color  Disable color output
  -q, --quiet     Quiet mode: do not display the launch banner
  -v, --verbose   Output verbose information

Time Format:
      --European-time     Output timestamp in European time format (ex: 22-02-2022 22:00:00.123 +02:00)
      --ISO-8601          Output timestamp in ISO-8601 format (ex: 2022-02-22T10:10:10.1234567Z) (Always UTC)
      --RFC-2822          Output timestamp in RFC 2822 format (ex: Fri, 22 Feb 2022 22:00:00 -0600)
      --RFC-3339          Output timestamp in RFC 3339 format (ex: 2022-02-22 22:00:00.123456-06:00)
      --US-military-time  Output timestamp in US military time format (ex: 02-22-2022 22:00:00.123 -06:00)
      --US-time           Output timestamp in US time format (ex: 02-22-2022 10:00:00.123 PM -06:00)
  -U, --UTC               Output time in UTC format (default: local time)

• Imprima métricas de ID de evento desde un solo archivo: hayabusa.exe eid-metrics -f Security.evtx
• Imprima métricas de ID de evento desde un directorio: hayabusa.exe eid-metrics -d ../logs
• Guarde los resultados en un archivo CSV: hayabusa.exe eid-metrics -f Security.evtx -o eid-metrics.csv

El canal, los ID de eventos y los títulos de los eventos se definen en rules/config/channel_eid_info.txt .

Ejemplo:

 Channel,EventID,EventTitle
Microsoft-Windows-Sysmon/Operational,1,Process Creation.
Microsoft-Windows-Sysmon/Operational,2,File Creation Timestamp Changed. (Possible Timestomping)
Microsoft-Windows-Sysmon/Operational,3,Network Connection.
Microsoft-Windows-Sysmon/Operational,4,Sysmon Service State Changed.

Puede utilizar el comando logon-summary para generar un resumen de la información de inicio de sesión (nombres de usuario de inicio de sesión y recuento de inicios de sesión exitosos y fallidos). Puede mostrar la información de inicio de sesión para un archivo evtx con -f o varios archivos evtx con la opción -d .

 Usage: logon-summary  [OPTIONS]

Input:
  -d, --directory   Directory of multiple .evtx files
  -f, --file       File path to one .evtx file
  -l, --live-analysis    Analyze the local C:WindowsSystem32winevtLogs folder

General Options:
  -C, --clobber                        Overwrite files when saving
  -h, --help                           Show the help menu
  -J, --JSON-input                     Scan JSON formatted logs instead of .evtx (.json or .jsonl)
  -Q, --quiet-errors                   Quiet errors mode: do not save error logs
  -x, --recover-records                Carve evtx records from slack space (default: disabled)
  -c, --rules-config              Specify custom rule config directory (default: ./rules/config)
      --target-file-ext   Specify additional evtx file extensions (ex: evtx_data)
  -t, --threads                Number of threads (default: optimal number for performance)

Filtering:
      --exclude-computer   Do not scan specified computer names (ex: ComputerA) (ex: ComputerA,ComputerB)
      --include-computer   Scan only specified computer names (ex: ComputerA) (ex: ComputerA,ComputerB)
      --timeline-end              End time of the event logs to load (ex: "2022-02-22 23:59:59 +09:00")
      --timeline-offset         Scan recent events based on an offset (ex: 1y, 3M, 30d, 24h, 30m)
      --timeline-start            Start time of the event logs to load (ex: "2020-02-22 00:00:00 +09:00")

Output:
  -o, --output   Save the logon summary to two CSV files (ex: -o logon-summary)

Display Settings:
      --no-color  Disable color output
  -q, --quiet     Quiet mode: do not display the launch banner
  -v, --verbose   Output verbose information

Time Format:
      --European-time     Output timestamp in European time format (ex: 22-02-2022 22:00:00.123 +02:00)
      --ISO-8601          Output timestamp in ISO-8601 format (ex: 2022-02-22T10:10:10.1234567Z) (Always UTC)
      --RFC-2822          Output timestamp in RFC 2822 format (ex: Fri, 22 Feb 2022 22:00:00 -0600)
      --RFC-3339          Output timestamp in RFC 3339 format (ex: 2022-02-22 22:00:00.123456-06:00)
      --US-military-time  Output timestamp in US military time format (ex: 02-22-2022 22:00:00.123 -06:00)
      --US-time           Output timestamp in US time format (ex: 02-22-2022 10:00:00.123 PM -06:00)
  -U, --UTC               Output time in UTC format (default: local time)

• Imprimir resumen de inicio de sesión: hayabusa.exe logon-summary -f Security.evtx
• Guardar resultados resumidos de inicio de sesión: hayabusa.exe logon-summary -d ../logs -o logon-summary.csv

Puede utilizar el comando pivot-keywords-list para crear una lista de palabras clave dinámicas únicas para identificar rápidamente usuarios, nombres de host, procesos, etc. anormales, así como correlacionar eventos.

Importante: de forma predeterminada, hayabusa devolverá resultados de todos los eventos (informativos y superiores), por lo que recomendamos combinar el comando pivot-keywords-list con la opción -m, --min-level . Por ejemplo, comience creando únicamente palabras clave a partir de alertas critical con -m critical y luego continúe con -m high , -m medium , etc... Lo más probable es que haya palabras clave comunes en sus resultados que coincidan en muchos eventos normales. Entonces, después de verificar manualmente los resultados y crear una lista de palabras clave únicas en un solo archivo, puede crear una línea de tiempo reducida de actividad sospechosa con un comando como grep -f keywords.txt timeline.csv .

 Usage: pivot-keywords-list  [OPTIONS]

Input:
  -d, --directory   Directory of multiple .evtx files
  -f, --file       File path to one .evtx file
  -l, --live-analysis    Analyze the local C:WindowsSystem32winevtLogs folder

General Options:
  -C, --clobber                        Overwrite files when saving
  -h, --help                           Show the help menu
  -J, --JSON-input                     Scan JSON formatted logs instead of .evtx (.json or .jsonl)
  -w, --no-wizard                      Do not ask questions. Scan for all events and alerts
  -Q, --quiet-errors                   Quiet errors mode: do not save error logs
  -x, --recover-records                Carve evtx records from slack space (default: disabled)
  -c, --rules-config              Specify custom rule config directory (default: ./rules/config)
      --target-file-ext   Specify additional evtx file extensions (ex: evtx_data)
  -t, --threads                Number of threads (default: optimal number for performance)

Filtering:
  -E, --EID-filter                      Scan only common EIDs for faster speed (./rules/config/target_event_IDs.txt)
  -D, --enable-deprecated-rules         Enable rules with a status of deprecated
  -n, --enable-noisy-rules              Enable rules set to noisy (./rules/config/noisy_rules.txt)
  -u, --enable-unsupported-rules        Enable rules with a status of unsupported
  -e, --exact-level              Only load rules with a specific level (informational, low, medium, high, critical)
      --exclude-computer   Do not scan specified computer names (ex: ComputerA) (ex: ComputerA,ComputerB)
      --exclude-eid             Do not scan specific EIDs for faster speed (ex: 1) (ex: 1,4688)
      --exclude-status       Do not load rules according to status (ex: experimental) (ex: stable,test)
      --exclude-tag             Do not load rules with specific tags (ex: sysmon)
      --include-computer   Scan only specified computer names (ex: ComputerA) (ex: ComputerA,ComputerB)
      --include-eid             Scan only specified EIDs for faster speed (ex: 1) (ex: 1,4688)
      --include-status       Only load rules with specific status (ex: experimental) (ex: stable,test)
      --include-tag             Only load rules with specific tags (ex: attack.execution,attack.discovery)
  -m, --min-level                Minimum level for rules to load (default: informational)
      --timeline-end              End time of the event logs to load (ex: "2022-02-22 23:59:59 +09:00")
      --timeline-offset         Scan recent events based on an offset (ex: 1y, 3M, 30d, 24h, 30m)
      --timeline-start            Start time of the event logs to load (ex: "2020-02-22 00:00:00 +09:00")

Output:
  -o, --output   Save pivot words to separate files (ex: PivotKeywords)

Display Settings:
      --no-color  Disable color output
  -q, --quiet     Quiet mode: do not display the launch banner
  -v, --verbose   Output verbose information

• Salida de palabras clave dinámicas a la pantalla: hayabusa.exe pivot-keywords-list -d ../logs -m critical
• Cree una lista de palabras clave dinámicas a partir de alertas críticas y guarde los resultados. (Los resultados se guardarán en keywords-Ip Addresses.txt , keywords-Users.txt , etc.):

 hayabusa.exe pivot-keywords-list -d ../logs -m critical -o keywords`

Puede personalizar las palabras clave que desea buscar editando ./rules/config/pivot_keywords.txt . Esta página es la configuración predeterminada.

El formato es KeywordName.FieldName . Por ejemplo, al crear la lista de Users , hayabusa enumerará todos los valores en los campos SubjectUserName , TargetUserName y User .

El comando search le permitirá buscar palabras clave en todos los eventos. (No solo los resultados de detección de Hayabusa). Esto es útil para determinar si hay alguna evidencia en eventos que no son detectados por Hayabusa.

 Usage: hayabusa.exe search  <--keywords "" OR --regex ""> [OPTIONS]

Display Settings:
      --no-color  Disable color output
  -q, --quiet     Quiet mode: do not display the launch banner
  -v, --verbose   Output verbose information

General Options:
  -C, --clobber                        Overwrite files when saving
  -h, --help                           Show the help menu
  -Q, --quiet-errors                   Quiet errors mode: do not save error logs
  -x, --recover-records                Carve evtx records from slack space (default: disabled)
  -c, --rules-config              Specify custom rule config directory (default: ./rules/config)
      --target-file-ext   Specify additional evtx file extensions (ex: evtx_data)
  -t, --threads                Number of threads (default: optimal number for performance)

Input:
  -d, --directory   Directory of multiple .evtx files
  -f, --file       File path to one .evtx file
  -l, --live-analysis    Analyze the local C:WindowsSystem32winevtLogs folder

Filtering:
  -a, --and-logic                 Search keywords with AND logic (default: OR)
  -F, --filter         Filter by specific field(s)
  -i, --ignore-case               Case-insensitive keyword search
  -k, --keyword       Search by keyword(s)
  -r, --regex              Search by regular expression
      --timeline-offset   Scan recent events based on an offset (ex: 1y, 3M, 30d, 24h, 30m)

Output:
  -J, --JSON-output    Save the search results in JSON format (ex: -J -o results.json)
  -L, --JSONL-output   Save the search results in JSONL format (ex: -L -o results.jsonl)
  -M, --multiline      Output event field information in multiple rows for CSV output
  -o, --output   Save the search results in CSV format (ex: search.csv)

Time Format:
      --European-time     Output timestamp in European time format (ex: 22-02-2022 22:00:00.123 +02:00)
      --ISO-8601          Output timestamp in ISO-8601 format (ex: 2022-02-22T10:10:10.1234567Z) (Always UTC)
      --RFC-2822          Output timestamp in RFC 2822 format (ex: Fri, 22 Feb 2022 22:00:00 -0600)
      --RFC-3339          Output timestamp in RFC 3339 format (ex: 2022-02-22 22:00:00.123456-06:00)
      --US-military-time  Output timestamp in US military time format (ex: 02-22-2022 22:00:00.123 -06:00)
      --US-time           Output timestamp in US time format (ex: 02-22-2022 10:00:00.123 PM -06:00)
  -U, --UTC               Output time in UTC format (default: local time)

• Busque en el directorio ../hayabusa-sample-evtx la palabra clave mimikatz :

 hayabusa.exe search -d ../hayabusa-sample-evtx -k "mimikatz"

Nota: La palabra clave coincidirá si se encuentra mimikatz en cualquier parte de los datos. No es una coincidencia exacta.

• Busque en el directorio ../hayabusa-sample-evtx las palabras clave mimikatz o kali :

 hayabusa.exe search -d ../hayabusa-sample-evtx -k "mimikatz" -k "kali"

• Busque en el directorio ../hayabusa-sample-evtx la palabra clave mimikatz e ignore mayúsculas y minúsculas:

 hayabusa.exe search -d ../hayabusa-sample-evtx -k "mimikatz" -i

• Busque direcciones IP en el directorio ../hayabusa-sample-evtx utilizando expresiones regulares:

 hayabusa.exe search -d ../hayabusa-sample-evtx -r "(?:[0-9]{1,3}.){3}[0-9]{1,3}"

• Busque en el directorio ../hayabusa-sample-evtx y muestre todos los eventos donde el campo WorkstationName es kali :

 hayabusa.exe search -d ../hayabusa-sample-evtx -r ".*" -F WorkstationName:"kali"

Nota: .* es la expresión regular que debe coincidir con cada evento.

./rules/config/channel_abbreviations.txt : Asignaciones de nombres de canales y sus abreviaturas.

Los comandos csv-timeline y json-timeline ahora tienen un asistente de escaneo habilitado de forma predeterminada. Esto tiene como objetivo ayudar a los usuarios a elegir fácilmente qué reglas de detección desean habilitar según sus necesidades y preferencias. Los conjuntos de reglas de detecciones para cargar se basan en las listas oficiales del proyecto Sigma. Los detalles se explican en esta publicación de blog. Puedes desactivar fácilmente el asistente y usar Hayabusa en su forma tradicional agregando la opción -w, --no-wizard .

El conjunto de reglas core habilita reglas que tienen un estado de test o stable y un nivel high o critical . Estas son reglas de alta calidad, de alta confianza y relevancia y no deberían producir muchos falsos positivos. El estado de la regla es test o stable , lo que significa que no se informaron falsos positivos durante más de 6 meses. Las reglas coincidirán con las técnicas del atacante, la actividad sospechosa genérica o el comportamiento malicioso. Es lo mismo que usar las opciones --exclude-status deprecated,unsupported,experimental --min-level high .

El conjunto de reglas core+ habilita reglas que tienen un estado de test o stable y un nivel medium o superior. Las reglas medium suelen necesitar ajustes adicionales, ya que ciertas aplicaciones, el comportamiento legítimo del usuario o los scripts de una organización pueden coincidir. Es lo mismo que usar las opciones --exclude-status deprecated,unsupported,experimental --min-level medium .

El conjunto de reglas core++ habilita reglas que tienen un estado experimental , test o stable y un nivel medium o superior. Estas reglas son vanguardistas. Se validan con los archivos evtx de referencia disponibles en el proyecto SigmaHQ y son revisados ​​por varios ingenieros de detección. Aparte de eso, al principio prácticamente no se han probado. Utilícelos si desea poder detectar amenazas lo antes posible a costa de gestionar un umbral más alto de falsos positivos. Es lo mismo que usar las opciones --exclude-status deprecated,unsupported --min-level medium .

El conjunto de reglas Emerging Threats (ET) habilita reglas que tienen una etiqueta de detection.emerging_threats . Estas reglas se dirigen a amenazas específicas y son especialmente útiles para amenazas actuales donde aún no hay mucha información disponible. Estas reglas no deberían tener muchos falsos positivos, pero su relevancia disminuirá con el tiempo. Cuando estas reglas no están habilitadas, es lo mismo que usar la opción --exclude-tag detection.emerging_threats . Cuando se ejecuta Hayabusa tradicionalmente sin el asistente, estas reglas se incluirán de forma predeterminada.

El conjunto de reglas Threat Hunting (TH) habilita reglas que tienen una etiqueta de detection.threat_hunting . Estas reglas pueden detectar actividad maliciosa desconocida; sin embargo, normalmente tendrán más falsos positivos. Cuando estas reglas no están habilitadas, es lo mismo que usar la opción --exclude-tag detection.threat_hunting . Cuando se ejecuta Hayabusa tradicionalmente sin el asistente, estas reglas se incluirán de forma predeterminada.

A partir de Hayabusa v2.16.0, habilitamos un filtro basado en canales al cargar archivos .evtx y reglas .yml . El objetivo es hacer que el escaneo sea lo más eficiente posible cargando solo lo necesario. Si bien es posible que haya varios proveedores en un único registro de eventos, no es común tener varios canales dentro de un único archivo evtx. (La única vez que hemos visto esto es cuando alguien fusionó artificialmente dos archivos evtx diferentes para el proyecto sample-evtx). Podemos usar esto a nuestro favor verificando primero el campo Channel en el primer registro de cada archivo .evtx especificado. para ser escaneado. También comprobamos qué reglas .yml utilizan qué canales especificados en el campo Channel de la regla. Con estas dos listas, solo cargamos reglas que usan canales que realmente están presentes dentro de los archivos .evtx .

Entonces, por ejemplo, si un usuario desea escanear Security.evtx , solo se utilizarán reglas que especifiquen Channel: Security . No tiene sentido cargar otras reglas de detección, por ejemplo reglas que solo buscan eventos en el registro Application , etc. Tenga en cuenta que los campos de canal (Ej: Channel: Security ) no están definidos explícitamente dentro de las reglas originales de Sigma. Para las reglas de Sigma, los campos de ID de canal y evento se definen implícitamente con los campos service y category en logsource . (Ej: service: security ) Al seleccionar reglas de Sigma en el repositorio de hayabusa-rules, eliminamos la abstracción del campo logsource y definimos explícitamente los campos de canal e ID de evento. Explicamos cómo y por qué hacemos esto en profundidad aquí.

Actualmente, solo hay dos reglas de detección que no tienen Channel definido y están destinadas a escanear todos los archivos .evtx :

• Posible código Shell oculto
• Uso de Mimikatz

Si desea utilizar estas dos reglas y escanear todas las reglas con los archivos .evtx cargados, deberá agregar la opción -A, --enable-all-rules en los comandos csv-timeline y json-timeline . En nuestros puntos de referencia, el filtrado de reglas generalmente ofrece una mejora de velocidad de 20% a 10 veces dependiendo de los archivos que se estén escaneando y, por supuesto, utiliza menos memoria.

El filtrado de canales también se utiliza al cargar archivos .evtx . Por ejemplo, si especifica una regla que busca eventos con un canal de Security , entonces no tiene sentido cargar archivos .evtx que no sean del registro Security . En nuestras pruebas comparativas, esto proporciona un beneficio de velocidad de alrededor del 10 % con escaneos normales y un aumento de rendimiento de hasta un 60 % más cuando escanea con una sola regla. Si está seguro de que se están utilizando varios canales dentro de un solo archivo .evtx , por ejemplo, alguien usó una herramienta para fusionar varios archivos .evtx , entonces deshabilite este filtrado con -a, --scan-all-evtx-files opción en los comandos csv-timeline y json-timeline .

Nota: El filtrado de canales solo funciona con archivos .evtx y recibirá un error si intenta cargar registros de eventos desde un archivo JSON con -J, --json-input y también especifica -A o -a .

El comando csv-timeline creará una línea de tiempo forense de eventos en formato CSV.

 Usage: csv-timeline  [OPTIONS]

Input:
  -d, --directory   Directory of multiple .evtx files
  -f, --file       File path to one .evtx file
  -l, --live-analysis    Analyze the local C:WindowsSystem32winevtLogs folder

General Options:
  -C, --clobber                        Overwrite files when saving
  -h, --help                           Show the help menu
  -J, --JSON-input                     Scan JSON formatted logs instead of .evtx (.json or .jsonl)
  -s, --sort-events                    Sort events before saving the file. (warning: this uses much more memory!)
  -w, --no-wizard                      Do not ask questions. Scan for all events and alerts
  -Q, --quiet-errors                   Quiet errors mode: do not save error logs
  -x, --recover-records                Carve evtx records from slack space (default: disabled)
  -r, --rules                Specify a custom rule directory or file (default: ./rules)
  -c, --rules-config              Specify custom rule config directory (default: ./rules/config)
      --target-file-ext   Specify additional evtx file extensions (ex: evtx_data)
  -t, --threads                Number of threads (default: optimal number for performance)

Filtering:
  -E, --EID-filter                      Scan only common EIDs for faster speed (./rules/config/target_event_IDs.txt)
  -D, --enable-deprecated-rules         Enable rules with a status of deprecated
  -n, --enable-noisy-rules              Enable rules set to noisy (./rules/config/noisy_rules.txt)
  -u, --enable-unsupported-rules        Enable rules with a status of unsupported
  -e, --exact-level              Only load rules with a specific level (informational, low, medium, high, critical)
      --exclude-category   Do not load rules with specified logsource categories (ex: process_creation,pipe_created)
      --exclude-computer   Do not scan specified computer names (ex: ComputerA) (ex: ComputerA,ComputerB)
      --exclude-eid             Do not scan specific EIDs for faster speed (ex: 1) (ex: 1,4688)
      --exclude-status       Do not load rules according to status (ex: experimental) (ex: stable,test)
      --exclude-tag             Do not load rules with specific tags (ex: sysmon)
      --include-category   Only load rules with specified logsource categories (ex: process_creation,pipe_created)
      --include-computer   Scan only specified computer names (ex: ComputerA) (ex: ComputerA,ComputerB)
      --include-eid             Scan only specified EIDs for faster speed (ex: 1) (ex: 1,4688)
      --include-status       Only load rules with specific status (ex: experimental) (ex: stable,test)
      --include-tag             Only load rules with specific tags (ex: attack.execution,attack.discovery)
  -m, --min-level                Minimum level for rules to load (default: informational)
  -P, --proven-rules                    Scan with only proven rules for faster speed (./rules/config/proven_rules.txt)
      --timeline-end              End time of the event logs to load (ex: "2022-02-22 23:59:59 +09:00")
      --timeline-offset         Scan recent events based on an offset (ex: 1y, 3M, 30d, 24h, 30m)
      --timeline-start            Start time of the event logs to load (ex: "2020-02-22 00:00:00 +09:00")

Output:
  -G, --GeoIP        Add GeoIP (ASN, city, country) info to IP addresses
  -H, --HTML-report            Save Results Summary details to an HTML report (ex: results.html)
  -M, --multiline                    Output event field information in multiple rows
  -F, --no-field-data-mapping        Disable field data mapping
      --no-pwsh-field-extraction     Disable field extraction of PowerShell classic logs
  -o, --output                 Save the timeline in CSV format (ex: results.csv)
  -p, --profile             Specify output profile
  -R, --remove-duplicate-data        Duplicate field data will be replaced with "DUP"
  -X, --remove-duplicate-detections  Remove duplicate detections (default: disabled)

Display Settings:
      --no-color            Disable color output
  -N, --no-summary          Do not display Results Summary for faster speed
  -q, --quiet               Quiet mode: do not display the launch banner
  -v, --verbose             Output verbose information
  -T, --visualize-timeline  Output event frequency timeline (terminal needs to support unicode)

Time Format:
      --European-time     Output timestamp in European time format (ex: 22-02-2022 22:00:00.123 +02:00)
      --ISO-8601          Output timestamp in ISO-8601 format (ex: 2022-02-22T10:10:10.1234567Z) (Always UTC)
      --RFC-2822          Output timestamp in RFC 2822 format (ex: Fri, 22 Feb 2022 22:00:00 -0600)
      --RFC-3339          Output timestamp in RFC 3339 format (ex: 2022-02-22 22:00:00.123456-06:00)
      --US-military-time  Output timestamp in US military time format (ex: 02-22-2022 22:00:00.123 -06:00)
      --US-time           Output timestamp in US time format (ex: 02-22-2022 10:00:00.123 PM -06:00)
  -U, --UTC               Output time in UTC format (default: local time)

• Ejecute hayabusa en un archivo de registro de eventos de Windows con el perfil standard predeterminado:

 hayabusa.exe csv-timeline -f eventlog.evtx

• Ejecute hayabusa en el directorio sample-evtx con múltiples archivos de registro de eventos de Windows con el perfil detallado:

 hayabusa.exe csv-timeline -d .hayabusa-sample-evtx -p verbose

• Exporte a un único archivo CSV para su posterior análisis con LibreOffice, Timeline Explorer, Elastic Stack, etc... e incluya toda la información de campo (Advertencia: ¡el tamaño de salida de su archivo será mucho mayor con el perfil super-verbose !):

 hayabusa.exe csv-timeline -d .hayabusa-sample-evtx -o results.csv -p super-verbose

• Habilite el filtro EID (ID de evento):

Nota: Habilitar el filtro EID acelerará el análisis entre un 10 y un 15 % en nuestras pruebas, pero existe la posibilidad de que se pierdan alertas.

 hayabusa.exe csv-timeline -E -d .hayabusa-sample-evtx -o results.csv

• Ejecute solo reglas de hayabusa (el valor predeterminado es ejecutar todas las reglas en -r .rules ):

 hayabusa.exe csv-timeline -d .hayabusa-sample-evtx -r .ruleshayabusa -o results.csv -w

• Ejecute solo reglas de hayabusa para registros que estén habilitados de forma predeterminada en Windows:

 hayabusa.exe csv-timeline -d .hayabusa-sample-evtx -r .ruleshayabusabuiltin -o results.csv -w

• Ejecute solo reglas de hayabusa para registros de sysmon:

 hayabusa.exe csv-timeline -d .hayabusa-sample-evtx -r .ruleshayabusasysmon -o results.csv -w

• Ejecute solo reglas sigma:

 hayabusa.exe csv-timeline -d .hayabusa-sample-evtx -r .rulessigma -o results.csv -w

• Habilite las reglas obsoletas (aquellas con status marcado como deprecated ) y reglas ruidosas (aquellas cuyo ID de regla aparece en .rulesconfignoisy_rules.txt ):

Nota: Recientemente, las reglas obsoletas ahora se encuentran en un directorio separado en el repositorio sigma, por lo que ya no se incluyen de forma predeterminada en Hayabusa. Por lo tanto, probablemente no sea necesario habilitar reglas obsoletas.

 hayabusa.exe csv-timeline -d .hayabusa-sample-evtx --enable-noisy-rules --enable-deprecated-rules -o results.csv -w

• Ejecute reglas únicamente para analizar inicios de sesión y resultados en la zona horaria UTC:

 hayabusa.exe csv-timeline -d .hayabusa-sample-evtx -r .ruleshayabusabuiltinSecurityLogonLogoffLogon -U -o results.csv -w

• Ejecútelo en una máquina Windows activa (requiere privilegios de administrador) y solo detecte alertas (comportamiento potencialmente malicioso):

 hayabusa.exe csv-timeline -l -m low

• Imprima información detallada (útil para determinar qué archivos tardan más en procesarse, errores de análisis, etc.):

 hayabusa.exe csv-timeline -d .hayabusa-sample-evtx -v

• Ejemplo de salida detallada:

Reglas de carga:

 Loaded rule: rules/sigma/builtin/deprecated/proc_creation_win_susp_run_folder.yml
Loaded rule: rules/sigma/builtin/deprecated/proc_creation_win_execution_mssql_xp_cmdshell_stored_procedure.yml
Loaded rule: rules/sigma/builtin/deprecated/proc_creation_win_susp_squirrel_lolbin.yml
Loaded rule: rules/sigma/builtin/win_alert_mimikatz_keywords.yml

Errores durante el escaneo:

 [ERROR] Failed to parse event file.
EventFile: ../logs/Microsoft-Rdms-UI%4Operational.evtx
Error: Failed to parse record number 58471

[ERROR] Failed to parse event file.
EventFile: ../logs/Microsoft-Rdms-UI%4Operational.evtx
Error: Failed to parse record number 58470

[ERROR] Failed to parse event file.
EventFile: ../logs/Microsoft-Windows-AppxPackaging%4Operational.evtx
Error: An error occurred while trying to serialize binary xml to output.

• Salida a un formato CSV compatible para importar a Timesketch:

 hayabusa.exe csv-timeline -d ../hayabusa-sample-evtx --RFC-3339 -o timesketch-import.csv -p timesketch -U

• Modo de error silencioso: de forma predeterminada, hayabusa guardará los mensajes de error en archivos de registro de errores. Si no desea guardar mensajes de error, agregue -Q .

Puede agregar información GeoIP (organización ASN, ciudad y país) a los campos SrcIP (IP de origen) y TgtIP (IP de destino) con los datos de geolocalización gratuitos de GeoLite2.

Pasos:

1. Primero regístrese para obtener una cuenta MaxMind aquí.
2. Descargue los tres archivos .mmdb de la página de descarga y guárdelos en un directorio. Los nombres de los archivos deben llamarse GeoLite2-ASN.mmdb , GeoLite2-City.mmdb y GeoLite2-Country.mmdb .
3. Al ejecutar los comandos csv-timeline o json-timeline , agregue la opción -G seguida del directorio con las bases de datos de MaxMind.

• Cuando se utiliza csv-timeline , se generarán adicionalmente las siguientes 6 columnas: SrcASN , SrcCity , SrcCountry , TgtASN , TgtCity , TgtCountry .

• Cuando se utiliza json-timeline , los mismos campos SrcASN , SrcCity , SrcCountry , TgtASN , TgtCity , TgtCountry se agregarán al objeto Details , pero solo si contienen información.

• Cuando SrcIP o TgtIP es localhost ( 127.0.0.1 , ::1 , etc...), SrcASN o TgtASN se generarán como Local .

• Cuando SrcIP o TgtIP es una dirección IP privada ( 10.0.0.0/8 , fe80::/10 , etc...), SrcASN o TgtASN se generarán como Private .

Los nombres de los campos que contienen direcciones IP de origen y destino que se buscan en las bases de datos GeoIP se definen en rules/config/geoip_field_mapping.yaml . Puede agregar a esta lista si es necesario. También hay una sección de filtro en este archivo que determina de qué eventos extraer información de la dirección IP.

Las bases de datos GeoIP de MaxMind se actualizan cada 2 semanas. Puede instalar la herramienta MaxMind geoipupdate aquí para actualizar automáticamente estas bases de datos.

Pasos en MacOS:

1. brew install geoipupdate
2. Editar /usr/local/etc/GeoIP.conf : Ponga su AccountID y LicenseKey que cree después de iniciar sesión en el sitio web de MaxMind. Asegúrese de que la línea EditionIDs diga EditionIDs GeoLite2-ASN GeoLite2-City GeoLite2-Country .
3. Ejecutar geoipupdate .
4. Agregue -G /usr/local/var/GeoIP cuando desee agregar información geoip.

Pasos en Windows:

1. Descargue el último binario de Windows (ex: geoipupdate_4.10.0_windows_amd64.zip ) de la página de comunicados.
2. Editar ProgramDataMaxMind/GeoIPUpdateGeoIP.conf : Ponga su AccountID y LicenseKey que cree después de iniciar sesión en el sitio web de MaxMind. Asegúrese de que la línea EditionIDs diga EditionIDs GeoLite2-ASN GeoLite2-City GeoLite2-Country .
3. Ejecute el ejecutable geoipupdate .

./rules/config/channel_abbreviations.txt : asignaciones de nombres de canales y sus abreviaturas.

./rules/config/default_details.txt : el archivo de configuración para qué información de campo predeterminada ( %Details% campo) debe generarse si no hay details: la línea se especifica en una regla. Esto se basa en el nombre del proveedor y las ID de eventos.

./rules/config/eventkey_alias.txt : este archivo tiene las asignaciones de alias de nombre cortos para campos y sus nombres de campo más largos originales.

Ejemplo:

 InstanceID,Event.UserData.UMDFHostDeviceArrivalBegin.InstanceId
IntegrityLevel,Event.EventData.IntegrityLevel
IpAddress,Event.EventData.IpAddress

Si no se define un campo aquí, Hayabusa verificará automáticamente en Event.EventData para el campo.

./rules/config/exclude_rules.txt : este archivo tiene una lista de ID de reglas que se excluirán del uso. Por lo general, esto se debe a que una regla ha reemplazado a otra o la regla no puede usarse en primer lugar. Al igual que los firewalls e IDSE, cualquier herramienta basada en la firma requerirá un ajuste para que se ajuste a su entorno, por lo que es posible que deba excluir de forma permanente o temporal ciertas reglas. Puede agregar una ID de regla (Ejemplo: 4fe151c2-ecf9-4fae-95ae-b88ec9c2fca6 ) a ./rules/config/exclude_rules.txt para ignorar cualquier regla que no necesite o no se pueda usar.

./rules/config/noisy_rules.txt : este archivo una lista de ID de reglas que están deshabilitadas de forma predeterminada pero se pueden habilitar habilitando reglas ruidosas con la opción -n, --enable-noisy-rules . Estas reglas suelen ser ruidosas por naturaleza o debido a falsos positivos.

./rules/config/target_event_IDs.txt : solo las ID de evento especificadas en este archivo se escanearán si el filtro EID está habilitado. De manera predeterminada, Hayabusa escaneará todos los eventos, pero si desea mejorar el rendimiento, use la opción -E, --EID-filter . Esto generalmente resulta en una mejora de velocidad del 10 ~ 25%.

El comando json-timeline creará una línea de tiempo forense de eventos en formato JSON o JSONL. La salida a JSONL será un tamaño de archivo más rápido y menor que JSON, por lo que es bueno si va a importar los resultados a otra herramienta como Elastic Stack. JSON es mejor si vas a analizar manualmente los resultados con un editor de texto. La salida de CSV es buena para importar plazos más pequeños (generalmente menos de 2 GB) en herramientas como LibreOffice o Timeline Explorer. JSON es mejor para un análisis más detallado de los datos (incluidos los grandes archivos de resultados) con herramientas como jq ya que los campos Details están separados para un análisis más fácil. (En la salida de CSV, todos los campos de registro de eventos están en una gran columna Details que realizan una clasificación de datos, etc. más difícil).

 Usage: json-timeline  [OPTIONS]

Input:
  -d, --directory   Directory of multiple .evtx files
  -f, --file       File path to one .evtx file
  -l, --live-analysis    Analyze the local C:WindowsSystem32winevtLogs folder

General Options:
  -C, --clobber                        Overwrite files when saving
  -h, --help                           Show the help menu
  -J, --JSON-input                     Scan JSON formatted logs instead of .evtx (.json or .jsonl)
  -s, --sort-events                    Sort events before saving the file. (warning: this uses much more memory!)
  -w, --no-wizard                      Do not ask questions. Scan for all events and alerts
  -Q, --quiet-errors                   Quiet errors mode: do not save error logs
  -x, --recover-records                Carve evtx records from slack space (default: disabled)
  -r, --rules                Specify a custom rule directory or file (default: ./rules)
  -c, --rules-config              Specify custom rule config directory (default: ./rules/config)
      --target-file-ext   Specify additional evtx file extensions (ex: evtx_data)
  -t, --threads                Number of threads (default: optimal number for performance)

Filtering:
  -E, --EID-filter                      Scan only common EIDs for faster speed (./rules/config/target_event_IDs.txt)
  -D, --enable-deprecated-rules         Enable rules with a status of deprecated
  -n, --enable-noisy-rules              Enable rules set to noisy (./rules/config/noisy_rules.txt)
  -u, --enable-unsupported-rules        Enable rules with a status of unsupported
  -e, --exact-level              Only load rules with a specific level (informational, low, medium, high, critical)
      --exclude-category   Do not load rules with specified logsource categories (ex: process_creation,pipe_created)
      --exclude-computer   Do not scan specified computer names (ex: ComputerA) (ex: ComputerA,ComputerB)
      --exclude-eid             Do not scan specific EIDs for faster speed (ex: 1) (ex: 1,4688)
      --exclude-status       Do not load rules according to status (ex: experimental) (ex: stable,test)
      --exclude-tag             Do not load rules with specific tags (ex: sysmon)
      --include-category   Only load rules with specified logsource categories (ex: process_creation,pipe_created)
      --include-computer   Scan only specified computer names (ex: ComputerA) (ex: ComputerA,ComputerB)
      --include-eid             Scan only specified EIDs for faster speed (ex: 1) (ex: 1,4688)
      --include-status       Only load rules with specific status (ex: experimental) (ex: stable,test)
      --include-tag             Only load rules with specific tags (ex: attack.execution,attack.discovery)
  -m, --min-level                Minimum level for rules to load (default: informational)
  -P, --proven-rules                    Scan with only proven rules for faster speed (./rules/config/proven_rules.txt)
      --timeline-end              End time of the event logs to load (ex: "2022-02-22 23:59:59 +09:00")
      --timeline-offset         Scan recent events based on an offset (ex: 1y, 3M, 30d, 24h, 30m)
      --timeline-start            Start time of the event logs to load (ex: "2020-02-22 00:00:00 +09:00")

Output:
  -G, --GeoIP        Add GeoIP (ASN, city, country) info to IP addresses
  -H, --HTML-report            Save Results Summary details to an HTML report (ex: results.html)
  -L, --JSONL-output                 Save the timeline in JSONL format (ex: -L -o results.jsonl)
  -F, --no-field-data-mapping        Disable field data mapping
      --no-pwsh-field-extraction     Disable field extraction of PowerShell classic logs
  -o, --output                 Save the timeline in JSON format (ex: results.json)
  -p, --profile             Specify output profile
  -R, --remove-duplicate-data        Duplicate field data will be replaced with "DUP"
  -X, --remove-duplicate-detections  Remove duplicate detections (default: disabled)

Display Settings:
      --no-color            Disable color output
  -N, --no-summary          Do not display Results Summary for faster speed
  -q, --quiet               Quiet mode: do not display the launch banner
  -v, --verbose             Output verbose information
  -T, --visualize-timeline  Output event frequency timeline (terminal needs to support unicode)

Time Format:
      --European-time     Output timestamp in European time format (ex: 22-02-2022 22:00:00.123 +02:00)
      --ISO-8601          Output timestamp in ISO-8601 format (ex: 2022-02-22T10:10:10.1234567Z) (Always UTC)
      --RFC-2822          Output timestamp in RFC 2822 format (ex: Fri, 22 Feb 2022 22:00:00 -0600)
      --RFC-3339          Output timestamp in RFC 3339 format (ex: 2022-02-22 22:00:00.123456-06:00)
      --US-military-time  Output timestamp in US military time format (ex: 02-22-2022 22:00:00.123 -06:00)
      --US-time           Output timestamp in US time format (ex: 02-22-2022 10:00:00.123 PM -06:00)
  -U, --UTC               Output time in UTC format (default: local time)

Las opciones y los archivos de configuración para json-timeline son las mismas que csv-timeline pero una opción adicional -L, --JSONL-output para la salida al formato JSONL.

El comando level-tuning le permitirá ajustar los niveles de alerta para las reglas, ya sea elevando o disminuyendo el nivel de riesgo de acuerdo con su entorno.

 Usage: level-tuning [OPTIONS]

Display Settings:
      --no-color  Disable color output
  -q, --quiet     Quiet mode: do not display the launch banner

General Options:
  -f, --file   Tune alert levels (default: ./rules/config/level_tuning.txt)

• Uso normal: hayabusa.exe level-tuning
• Tane niveles de alerta de reglas basados ​​en su archivo de configuración personalizado: hayabusa.exe level-tuning -f my_level_tuning.txt

Los autores de la regla de Hayabusa y Sigma determinarán el nivel de riesgo de la alerta al escribir sus reglas. Sin embargo, el nivel de riesgo real puede diferir según el medio ambiente. Puede ajustar el nivel de riesgo de las reglas agregándolas a ./rules/config/level_tuning.txt y ejecutando hayabusa.exe level-tuning que actualizará la línea level en el archivo de reglas. Tenga en cuenta que el archivo de regla se actualizará directamente.

Advertencia: en cualquier momento en que ejecute update-rules , el nivel de alerta original sobrescribirá cualquier configuración que haya cambiado, por lo que deberá ejecutar el comando level-tuning después de cada vez que ejecute update-rules si desea cambiar los niveles.

./rules/config/level_tuning.txt Línea de muestra:

 id,new_level
00000000-0000-0000-0000-000000000000,informational # sample level tuning line

En este caso, el nivel de riesgo de la regla con una id de 00000000-0000-0000-0000-000000000000 en el directorio de reglas tendrá su level reescrito a informational . Los posibles niveles para establecer son critical , high , medium , low e informational .

 Usage: list-profiles [OPTIONS]

Display Settings:
      --no-color  Disable color output
  -q, --quiet     Quiet mode: do not display the launch banner

 Usage: set-default-profile [OPTIONS]

Display Settings:
      --no-color  Disable color output
  -q, --quiet     Quiet mode: do not display the launch banner

General Options:
  -p, --profile   Specify output profile

• Establezca el perfil predeterminado en minimal : hayabusa.exe set-default-profile minimal
• Establezca el perfil predeterminado en super-verbose : hayabusa.exe set-default-profile super-verbose

El comando update-rules sincronizará la carpeta rules con el repositorio de GitHub de las reglas Hayabusa, actualizando las reglas y los archivos de configuración.

 Usage: update-rules [OPTIONS]

Display Settings:
      --no-color  Disable color output
  -q, --quiet     Quiet mode: do not display the launch banner

General Options:
  -r, --rules   Specify a custom rule directory or file (default: ./rules)

Normalmente solo ejecutará esto: hayabusa.exe update-rules

Hayabusa tiene 5 perfiles de salida predefinidos para usar en config/profiles.yaml :

1. minimal
2. standard (predeterminado)
3. verbose
4. all-field-info
5. all-field-info-verbose
6. super-verbose
7. timesketch-minimal
8. timesketch-verbose

Puede personalizar fácilmente o agregar sus propios perfiles editando este archivo. También puede cambiar fácilmente el perfil predeterminado con set-default-profile --profile . Use el comando list-profiles para mostrar los perfiles disponibles y su información de campo.

%Timestamp%, %Computer%, %Channel%, %EventID%, %Level%, %RecordID%, %RuleTitle%, %Details%

%Timestamp%, %Computer%, %Channel%, %EventID%, %Level%, %RecordID%, %RuleTitle%, %Details%, %ExtraFieldInfo%

%Timestamp%, %Computer%, %Channel%, %EventID%, %Level%, %MitreTactics%, %MitreTags%, %OtherTags%, %RecordID%, %RuleTitle%, %Details%, %ExtraFieldInfo%, %RuleFile%, %EvtxFile%

En lugar de generar la información details mínimos, toda la información de campo en las secciones EventData y UserData se emitirá junto con sus nombres de campo originales.

%Timestamp%, %Computer%, %Channel%, %EventID%, %Level%, %RecordID%, %RuleTitle%, %AllFieldInfo%, %RuleFile%, %EvtxFile%

%Timestamp%, %Computer%, %Channel%, %EventID%, %Level%, %MitreTactics%, %MitreTags%, %OtherTags%, %RecordID%, %RuleTitle%, %AllFieldInfo%, %RuleFile%, %EvtxFile%

%Timestamp%, %Computer%, %Channel%, %EventID%, %Level%, %RuleTitle%, %RuleAuthor%, %RuleModifiedDate%, %Status%, %RecordID%, %Details%, %ExtraFieldInfo%, %MitreTactics%, %MitreTags%, %OtherTags%, %Provider%, %RuleCreationDate%, %RuleFile%, %EvtxFile%

Salida a un formato compatible con la importación a TimesKetch.

%Timestamp%, hayabusa, %RuleTitle%, %Computer%, %Channel%, %EventID%, %Level%, %MitreTactics%, %MitreTags%, %OtherTags%, %RecordID%, %Details%, %RuleFile%, %EvtxFile%

%Timestamp%, hayabusa, %RuleTitle%, %Computer%, %Channel%, %EventID%, %Level%, %MitreTactics%, %MitreTags%, %OtherTags%, %RecordID%, %Details%, %ExtraFieldInfo%, %RuleFile%, %EvtxFile%

Los siguientes puntos de referencia se llevaron a cabo en un Lenovo P51 2018 (CPU Core 4 Core / 64GB RAM) 2018 con 3GB de datos EVTX y reglas 3891 habilitadas. (2023/06/01)

La siguiente información se puede emitir con perfiles de salida incorporados:

También puede agregar estos alias adicionales a su perfil de salida si los necesita:

Nota: Estos no están incluidos en ningún perfil integrado, por lo que deberá editar manualmente el archivo config/default_profile.yaml y agregar las siguientes líneas:

 Message: "%RenderedMessage%"
RuleID: "%RuleID%"

También puede definir alias clave de eventos para generar otros campos.

Para ahorrar espacio, utilizamos las siguientes abrevaciones al mostrar el level de alerta.

• crit : critical
• high : high
• med : medium
• low : low
• info : informational

Para ahorrar espacio, utilizamos las siguientes abreviaturas al mostrar etiquetas de táctica Mitre ATT & CK. Puede editar libremente estas abreviaturas en el archivo de configuración ./config/mitre_tactics.txt .

• Recon : Reconocimiento
• ResDev : desarrollo de recursos
• InitAccess : acceso inicial
• Exec : ejecución
• Persis : persistencia
• PrivEsc : escalada de privilegios
• Evas : evasión de defensa
• CredAccess : acceso de credenciales
• Disc : descubrimiento
• LatMov : movimiento lateral
• Collect : COLECCIÓN
• C2 : comando y control
• Exfil : exfiltración
• Impact : impacto

Para ahorrar espacio, utilizamos las siguientes abreviaturas al mostrar el canal. Puede editar libremente estas abreviaturas en el archivo de configuración ./rules/config/channel_abbreviations.txt .

• App : Application
• AppLocker : Microsoft-Windows-AppLocker/*
• BitsCli : Microsoft-Windows-Bits-Client/Operational
• CodeInteg : Microsoft-Windows-CodeIntegrity/Operational
• Defender : Microsoft-Windows-Windows Defender/Operational
• DHCP-Svr : Microsoft-Windows-DHCP-Server/Operational
• DNS-Svr : DNS Server
• DvrFmwk : Microsoft-Windows-DriverFrameworks-UserMode/Operational
• Exchange : MSExchange Management
• Firewall : Microsoft-Windows-Windows Firewall With Advanced Security/Firewall
• KeyMgtSvc : Key Management Service
• LDAP-Cli : Microsoft-Windows-LDAP-Client/Debug
• NTLM Microsoft-Windows-NTLM/Operational
• OpenSSH : OpenSSH/Operational
• PrintAdm : Microsoft-Windows-PrintService/Admin
• PrintOp : Microsoft-Windows-PrintService/Operational
• PwSh : Microsoft-Windows-PowerShell/Operational
• PwShClassic : Windows PowerShell
• RDP-Client : Microsoft-Windows-TerminalServices-RDPClient/Operational
• Sec : Security
• SecMitig : Microsoft-Windows-Security-Mitigations/*
• SmbCliSec : Microsoft-Windows-SmbClient/Security
• SvcBusCli : Microsoft-ServiceBus-Client
• Sys : System
• Sysmon : Microsoft-Windows-Sysmon/Operational
• TaskSch : Microsoft-Windows-TaskScheduler/Operational
• WinRM : Microsoft-Windows-WinRM/Operational
• WMI : Microsoft-Windows-WMI-Activity/Operational

Las siguientes abreviaturas se utilizan en las reglas para que la salida sea lo más concisa posible:

• Acct -> Cuenta
• Addr -> Dirección
• Auth -> Autenticación
• Cli -> Cliente
• Chan -> canal
• Cmd -> comando
• Cnt -> contar
• Comp -> computadora
• Conn -> Connection/Connected
• Creds -> credenciales
• Crit -> crítico
• Disconn -> desconexión/desconectado
• Dir -> Directorio
• Drv -> Conductor
• Dst -> Destino
• EID -> ID de evento
• Err -> Error
• Exec -> Ejecución
• FW -> Firewall
• Grp -> Grupo
• Img -> Imagen
• Inj
• Krb -> Kerberos
• LID -> ID de inicio de sesión
• Med -> medio
• Net -> red
• Obj -> objeto
• Op -> Operación/Operación
• Proto -> Protocolo
• PW -> Contraseña
• Reconn -> Reconexión
• Req -> Solicitud
• Rsp -> Respuesta
• Sess -> Sesión
• Sig -> Firma
• Susp -> Sospechoso
• Src -> Fuente
• Svc -> Servicio
• Svr -> servidor
• Temp -> temporal
• Term -> terminación/terminado
• Tkt -> boleto
• Tgt -> objetivo
• Unkwn -> desconocido
• Usr -> usuario
• Perm -> Permento
• Pkg -> paquete
• Priv -> privilegio
• Proc -> proceso
• PID -> ID de proceso
• PGUID -> Process Guid (ID global único)
• Ver -> versión

La barra de progreso solo funcionará con múltiples archivos EVTX. Mostrará en tiempo real el número y el porcentaje de archivos EVTX que ha terminado de analizar.

Las alertas se emitirán en color en función del level de alerta. Puede cambiar los colores predeterminados en el archivo de configuración en ./config/level_color.txt en el formato de level,(RGB 6-digit ColorHex) . Si desea deshabilitar la salida de color, puede usar la opción --no-color .

Los eventos totales, el número de eventos con éxitos, métricas de reducción de datos, detecciones totales y únicas, fechas con la mayoría de las detecciones, las computadoras principales con detecciones y alertas superiores se muestran después de cada escaneo.

Si agrega la opción -T, --visualize-timeline , la función de línea de tiempo de frecuencia de eventos muestra una línea de tiempo de frecuencia de chispa de los eventos detectados. Nota: Debe haber más de 5 eventos. Además, los caracteres no se presentarán correctamente en el símbolo del sistema predeterminado o el indicador de PowerShell, por lo que utiliza un terminal como Windows Terminal, ITerm2, etc.

Las reglas de detección de Hayabusa están escritas en un formato YML similar a Sigma y se encuentran en la carpeta rules . Las reglas están alojadas en https://github.com/yamato-security/hayabusa-rules, así que envíe cualquier problema y extraiga las reglas allí en lugar del repositorio principal de Hayabusa.

Lea el readMe del repositorio de reglas Hayabusa para comprender el formato de regla y cómo crear reglas.

Todas las reglas del repositorio de reglas Hayabusa deben colocarse en la carpeta rules . Las reglas de nivel informational se consideran events , mientras que cualquier cosa con un level de low y superior se consideran alerts .

La estructura del directorio de reglas de Hayabusa se separa en 2 directorios:

• builtin : registros que pueden generarse por la funcionalidad incorporada de Windows.
• sysmon : registros generados por Sysmon.

Las reglas se separan aún más en directorios por tipo de registro (ejemplo: seguridad, sistema, etc.) y se nombran en el siguiente formato:

Consulte las reglas actuales para usar como plantilla para crear otras nuevas o para verificar la lógica de detección.

Hayabusa apoya las reglas de Sigma de forma nativa con una única excepción de manejar los campos logsource internamente. Para reducir los falsos positivos, las reglas de Sigma deben ejecutarse a través de nuestro convertidor explicado aquí. Esto agregará el Channel y EventID adecuados, y realizará la mapeo de campo para ciertas categorías como process_creation .

Casi todas las reglas de Hayabusa son compatibles con el formato Sigma, por lo que puede usarlas como las reglas de Sigma para convertirse a otros formatos SIEM. Las reglas de Hayabusa están diseñadas únicamente para el análisis de registros de eventos de Windows y tienen los siguientes beneficios:

1. Un campo details adicional para mostrar información adicional tomada solo de los campos útiles en el registro.
2. Todos se prueban con registros de muestras y se sabe que funcionan.
3. Agregadores adicionales que no se encuentran en Sigma, como |equalsfield y |endswithfield .

Hasta donde sabemos, Hayabusa proporciona el mayor soporte nativo para las reglas de Sigma de cualquier herramienta de análisis de registro de eventos de código abierto de Windows.

• APT -HUNTER - Herramienta de detección de ataque escrita en Python.
• IDS de eventos impresionantes: colección de recursos de identificación de eventos útiles para forense digital y respuesta de incidentes
• Motosierra: otra herramienta de detección de ataque basada en Sigma escrita en Rust.
• DeepblueCli - Herramienta de detección de ataque escrita en PowerShell por Eric Conrad.
• Epagneul: visualización de gráficos para registros de eventos de Windows.
• EventList - Mapa de identificación de eventos de referencia de seguridad a Mitre ATT & CK por Miriam Wiesner.
• Mapeo de Mitre ATT & CK con ID de registro de eventos de ventana - por Michel de Crevoisier
• EVTXECMD - EVTX PARSER POR ERIC ZIMMERMAN.
• EVTXtract: recupere archivos de registro EVTX de imágenes de espacio y memoria no asignadas.
• EVTXTOELK - Herramienta Python para enviar datos EVTX a la pila elástica.
• Muestras de ataque EVTX - EVTX Attack Muestra de registro de eventos de registro de SBousSeaden.
• EVTX-TO MITRE-ATTACK-EVTX Attx Sample Event Files Mappados a ATT & CK por Michel de CREVOISIER
• EVTX PARSER - La biblioteca Evtx de óxido que usamos escrita por @obenamram.
• Grafiki - Sysmon y PowerShell Log Visualizer.
• Logontracer: una interfaz gráfica para visualizar los inicios de sesión para detectar el movimiento lateral por JPCERTCC.
• Guía de monitoreo de eventos de NSA Windows - Guía de la NSA sobre qué monitorear.
• RustyBlue - Puerto de Rust de Deepbluecli de Yamato Security.
• SIGMA - Reglas genéricas de SIEM basadas en la comunidad.
• SOF-ELK: una VM preenvasada con pila elástica para importar datos para el análisis DFIR por Phil Hagen
• SO-Import-EVTX: importe archivos EVTX en cebolla de seguridad.
• SysmonTools - Herramienta de visualización de registro de configuración y fuera de línea para SYSMON.
• Explorador de línea de tiempo: el mejor analizador de línea de tiempo CSV por Eric Zimmerman.
• Análisis de registro de eventos de Windows - Referencia del analista - por Steve Anson de Forward Defense.
• Circolito - Herramienta de detección de ataque basada en Sigma escrita en Python.

Para detectar correctamente la actividad maliciosa en las máquinas de Windows, deberá mejorar la configuración de registro predeterminada. Hemos creado un proyecto separado para documentar qué configuración de registro debe habilitarse, así como los scripts para habilitar automáticamente la configuración adecuada en https://github.com/yamato-security/enableWindowsLogSettings.

También recomendamos los siguientes sitios para orientación:

• JSCU-NL (Unidad Cyber ​​de Sigint conjunta Países Bajos) Essentials de registro
• Guía de registro y fowarding de ACSC (Australian Cyber ​​Security)
• Hojas de trucos de arqueología de malware

Para crear la evidencia más forense y detectar con la mayor precisión, debe instalar Sysmon. Recomendamos los siguientes sitios y archivos de configuración:

• Guía comunitaria de confianza de Sysmon
• Sysmon modular
• Swiftonsecurity sysmon config
• Swiftonsecurity Sysmon Config fork por NEO23X0
• Swiftonsecurity Sysmon Config bifurcado por ion-storm

• 2023/12/11 Desatando las plumas Hayabusa: ¡mis características superiores reveladas! por Christian Henriksen
• 2023/10/16 Respuesta de incidentes y caza de amenazas utilizando la herramienta Hayabusa por el Md. Mahim bin Firoj
• 2023/03/21 Encuentre amenazas en registros de eventos con Hayabusa por Eric Capuano
• 2023/03/14 Guía de rendimiento de óxido para desarrolladores de Hayabusa por Fukusuke Takahashi
• 2022/06/19 Tutorial de Velociraptor e Integración de Hayabusa por Eric Capuano
• 2022/01/24 Graphing Hayabusa Resultado en Neo4J por Matthew Seyer (@Forensic_Matt)

• 2024/01/24 LME × Hayabusa － Windows イベントログの集約と解析の効率化 por NEC Security Blog
• 2023/09/29 Forense rápido con Hayabusa y Splunk de NEC Security Blog
• 2023/09/13 Análisis de registro de eventos de Windows con Hayabusa por FFRI
• 2022/03/14 Guía de rendimiento de óxido para desarrolladores de Hayabusa por Fukusuke Takahashi
• 2022/01/22 La visualización de Hayabusa da como resultado la pila elástica de @kzzzzo2
• 2021/12/31 Introducción a Hayabusa por Itib (@itib_s144)
• 2021/12/27 Hayabusa Interna de Kazuminn (@K47_um1n)

Nos encantaría cualquier forma de contribución. Las solicitudes de extracción, la creación de reglas y los registros de muestra EVTX son las mejores, pero las solicitudes de funciones, notificándonos de errores, etc., también son muy bienvenidas.

Por lo menos, si le gusta nuestra herramienta, ¡danos una estrella en Github y muestre tu apoyo!

Envíe cualquier error que encuentre aquí. Este proyecto se mantiene activamente y estamos encantados de solucionar cualquier error reportado.

Si encuentra algún problema (falsos positivos, errores, etc.) con las reglas de Hayabusa, infórmalos a la página de problemas de GitHub de Hayabusa-Rules aquí.

Si encuentra algún problema (falsos positivos, errores, etc.) con las reglas de Sigma, infórmalos a la página de problemas de Sigmahq GitHub aquí.

Hayabusa se publica bajo AGPLV3 y todas las reglas se publicaron bajo la Licencia de Regla de Detección (DRL) 1.1.

Hayabusa utiliza datos de Geolite2 creados por MaxMind, disponibles en https://www.maxmind.com.

Puede recibir las últimas noticias sobre Hayabusa, actualizaciones de reglas, otras herramientas de seguridad de Yamato, etc ... siguiéndonos en Twitter en @Securityyamato.