hayabusa

Hayabusa est un générateur de chronologie d'investigation rapide de journaux d'événements Windows et un outil de chasse aux menaces créé par le groupe Yamato Security au Japon. Hayabusa signifie « faucon pèlerin » en japonais et a été choisi car les faucons pèlerins sont les animaux les plus rapides du monde, excellents pour la chasse et faciles à dresser. Il est écrit en Rust et supporte le multi-threading afin d'être le plus rapide possible. Nous avons fourni un outil pour convertir les règles Sigma au format de règles Hayabusa. Les règles de détection Hayabusa compatibles Sigma sont écrites en YML afin d'être aussi facilement personnalisables et extensibles que possible. Hayabusa peut être exécuté soit sur un seul système en cours d'exécution pour une analyse en direct, en collectant les journaux d'un ou de plusieurs systèmes pour une analyse hors ligne, ou en exécutant l'artefact Hayabusa avec Velociraptor pour la recherche de menaces et la réponse aux incidents à l'échelle de l'entreprise. La sortie sera consolidée dans une seule chronologie CSV pour une analyse facile dans LibreOffice, Timeline Explorer, Elastic Stack, Timesketch, etc...

• EnableWindowsLogSettings - Documentation et scripts pour activer correctement les journaux d'événements Windows.
• Règles codées Hayabusa - Identique au référentiel de règles Hayabusa, mais les règles et les fichiers de configuration sont stockés dans un seul fichier et XORed pour éviter les faux positifs de l'antivirus.
• Règles Hayabusa - Hayabusa et les règles de détection Sigma organisées ont utilisé Hayabusa.
• Hayabusa EVTX - Une fourche plus entretenue de la caisse evtx .
• Hayabusa Sample EVTXs - Exemples de fichiers evtx à utiliser pour tester les règles de détection hayabusa/sigma.
• Présentations - Présentations des conférences que nous avons données sur nos outils et ressources.
• Sigma to Hayabusa Converter - Organise les règles Sigma basées sur le journal des événements Windows en amont dans un formulaire plus facile à utiliser.
• Takajo - Un analyseur de résultats hayabusa.
• WELA (Windows Event Log Analyzer) - Un analyseur pour les journaux d'événements Windows écrits en PowerShell. (Obsolète et remplacé par Takajo.)

• AllthingsTimesketch - Un workflow NodeRED qui importe les résultats Plaso et Hayabusa dans Timesketch.
• LimaCharlie - Fournit des outils et une infrastructure de sécurité basés sur le cloud pour répondre à vos besoins.
• OpenRelik : une plate-forme open source (Apache-2.0) conçue pour rationaliser les enquêtes médico-légales numériques collaboratives.
• Splunk4DFIR – Démarrez rapidement une instance Splunk avec Docker pour parcourir les journaux et les résultats des outils au cours de vos enquêtes.
• Velociraptor - Un outil pour collecter des informations sur l'état basées sur l'hôte à l'aide de requêtes Velociraptor Query Language (VQL).

• À propos de Hayabusa
• Projets compagnons
• Projets tiers utilisant Hayabusa
  • Table des matières
  • Objectifs principaux
    • Chasse aux menaces et DFIR à l’échelle de l’entreprise
    • Génération rapide de chronologies médico-légales
• Captures d'écran
  • Démarrer
  • Sortie du terminal de la chronologie DFIR
  • Résultats de la recherche par mot-clé
  • Chronologie de la fréquence de détection (option -T )
  • Résumé des résultats
  • Résumé des résultats HTML (option -H )
  • Analyse de la chronologie DFIR dans LibreOffice (sortie multiligne -M )
  • Analyse de la chronologie DFIR dans Timeline Explorer
  • Filtrage des alertes critiques et regroupement d’ordinateurs dans Timeline Explorer
  • Analyse avec le tableau de bord de la Suite Elastic
  • Analyse dans Timesketch
• Importation et analyse des résultats de la chronologie
• Analyser les résultats au format JSON avec JQ
• Caractéristiques
• Téléchargements
  • Packages de réponse Windows Live
• Clonage Git
• Avancé : compilation à partir de la source (facultatif)
  • Mise à jour des packages Rust
  • Compilation croisée de binaires Windows 32 bits
  • Notes de compilation macOS
  • Notes de compilation Linux
  • Compilation croisée de binaires Linux MUSL
• Exécuter Hayabusa
  • Attention : avertissements antivirus/EDR et temps d'exécution lents
  • Fenêtres
    • Erreur lors de la tentative d'analyse d'un fichier ou d'un répertoire avec un espace dans le chemin
  • Linux
  • macOS
• Liste des commandes
  • Commandes d'analyse :
  • Commandes de la chronologie DFIR :
  • Commandes générales :
• Utilisation des commandes
  • Commandes d'analyse
    • commande computer-metrics
      • exemples de commandes computer-metrics
      • capture d'écran computer-metrics
    • commande eid-metrics
      • Exemples de commandes eid-metrics
      • fichier de configuration de la commande eid-metrics
      • capture d'écran eid-metrics
    • commande logon-summary
      • exemples de commandes logon-summary
      • captures d'écran logon-summary
    • commande pivot-keywords-list
      • exemples de commandes pivot-keywords-list
      • fichier de configuration pivot-keywords-list
    • commande search
      • exemples de commandes search
      • search les fichiers de configuration de la commande
  • Commandes de la chronologie DFIR
    • Assistant de numérisation
      • Règles de base
      • Règles de base+
      • Règles de base++
      • Règles complémentaires relatives aux menaces émergentes (ET)
      • Règles complémentaires de chasse aux menaces (TH)
    • Journal des événements et filtrage des règles basés sur les canaux
    • commande csv-timeline
      • Exemples de commandes csv-timeline
      • Avancé - Enrichissement des journaux GeoIP
        • Fichier de configuration GeoIP
        • Mises à jour automatiques des bases de données GeoIP
      • fichiers de configuration de la commande csv-timeline
    • commande json-timeline
      • Exemples de commandes json-timeline et fichiers de configuration
    • commande level-tuning
      • exemples de commandes level-tuning
      • fichier de configuration level-tuning
    • commande list-profiles
    • commande set-default-profile
      • Exemples de commandes set-default-profile
    • commande update-rules
      • exemple de commande update-rules
• Sortie de la chronologie
  • Profils de sortie
    • 1. sortie de profil minimal
    • 2. sortie de profil standard
    • 3. Sortie de profil verbose
    • 4. Sortie de profil all-field-info
    • 5. Sortie de profil all-field-info-verbose
    • 6. sortie de profil super-verbose
    • 7. Sortie de profil timesketch-minimal
    • 8. Sortie de profil timesketch-verbose
    • Comparaison de profils
    • Alias ​​de champ de profil
      • Alias ​​de champs de profil supplémentaires
  • Abréviations de niveau
  • Abréviations tactiques MITRE ATT&CK
  • Abréviations des chaînes
  • Autres abréviations
  • Barre de progression
  • Sortie couleur
  • Résumé des résultats
    • Chronologie de la fréquence de détection
• Règles Hayabusa
  • Règles Sigma vs Hayabusa (compatible Sigma intégré)
• Autres analyseurs de journaux d'événements Windows et ressources associées
• Recommandations de journalisation Windows
• Projets liés à Sysmon
• Documentation communautaire
  • Anglais
  • japonais
• Contribution
• Soumission de bogues
• Licence
• Gazouillement

Hayabusa dispose actuellement de plus de 4 000 règles Sigma et de plus de 170 règles de détection intégrées Hayabusa, d'autres règles étant ajoutées régulièrement. Il peut être utilisé gratuitement pour la chasse proactive aux menaces à l'échelle de l'entreprise ainsi que pour le DFIR (Digital Forensics and Incident Response) avec l'artefact Hayabusa de Velociraptor. En combinant ces deux outils open source, vous pouvez essentiellement reproduire rétroactivement un SIEM lorsqu'il n'y a pas de configuration SIEM dans l'environnement. Vous pouvez apprendre comment procéder en regardant la procédure pas à pas du Velociraptor d'Eric Capuano ici.

L'analyse des journaux d'événements Windows est traditionnellement un processus très long et fastidieux, car les journaux d'événements Windows sont 1) dans un format de données difficile à analyser et 2) la majorité des données sont du bruit et ne sont pas utiles pour les enquêtes. L'objectif de Hayabusa est d'extraire uniquement les données utiles et de les présenter dans un format aussi concis que possible, facile à lire et utilisable non seulement par des analystes professionnellement formés, mais aussi par tout administrateur système Windows. Hayabusa espère permettre aux analystes d'effectuer 80 % de leur travail en 20 % du temps par rapport à l'analyse traditionnelle des journaux d'événements Windows.

Vous pouvez apprendre à analyser les chronologies CSV dans Excel et Timeline Explorer ici.

Vous pouvez apprendre à importer des fichiers CSV dans Elastic Stack ici.

Vous pouvez apprendre comment importer des fichiers CSV dans Timesketch ici.

Vous pouvez apprendre à analyser les résultats au format JSON avec jq ici.

• Prise en charge multiplateforme : Windows, Linux, macOS.
• Développé dans Rust pour assurer la sécurité et la rapidité de la mémoire.
• Prise en charge multithread offrant une amélioration de vitesse jusqu'à 5 fois.
• Crée des délais uniques et faciles à analyser pour les enquêtes médico-légales et la réponse aux incidents.
• Chasse aux menaces basée sur des signatures IoC écrites dans des règles hayabusa faciles à lire/créer/modifier basées sur YML.
• Prise en charge des règles Sigma pour convertir les règles Sigma en règles Hayabusa.
• Actuellement, il prend en charge la plupart des règles sigma par rapport à d'autres outils similaires et prend même en charge les règles de comptage et les nouveaux agrégateurs tels que |equalsfield et |endswithfield .
• Métriques informatiques. (Utile pour filtrer certains ordinateurs avec un grand nombre d'événements.)
• Métriques d’ID d’événement. (Utile pour avoir une idée des types d'événements existants et pour régler vos paramètres de journal.)
• Configuration du réglage des règles en excluant les règles inutiles ou bruyantes.
• Cartographie des tactiques MITRE ATT&CK.
• Réglage au niveau des règles.
• Créez une liste de mots-clés pivots uniques pour identifier rapidement les utilisateurs anormaux, les noms d'hôte, les processus, etc... ainsi que corréler les événements.
• Affichez tous les champs pour des enquêtes plus approfondies.
• Résumé des connexions réussies et échouées.
• Chasse aux menaces à l'échelle de l'entreprise et DFIR sur tous les points finaux avec Velociraptor.
• Sortie vers des rapports récapitulatifs CSV, JSON/JSONL et HTML.
• Mises à jour quotidiennes des règles Sigma.
• Prise en charge de l'entrée de journal au format JSON.
• Normalisation du champ de journal. (Conversion de plusieurs champs avec des conventions de dénomination différentes en le même nom de champ.)
• Enrichissement du journal en ajoutant des informations GeoIP (ASN, ville, pays) aux adresses IP.
• Recherchez dans tous les événements des mots-clés ou des expressions régulières.
• Cartographie des données de terrain. (Ex : 0xc0000234 -> ACCOUNT LOCKED )
• Enregistrement d'Evtx découpant à partir de l'espace libre d'Evtx.
• Déduplication d'événement lors de la sortie. (Utile lorsque les enregistrements de récupération sont activés ou lorsque vous incluez des fichiers evtx sauvegardés, des fichiers evtx de VSS, etc...)
• Assistant de configuration de numérisation pour vous aider à choisir les règles à activer plus facilement. (Afin de réduire les faux positifs, etc...)
• Analyse et extraction des champs de journaux PowerShell classiques.
• Faible utilisation de la mémoire. (Remarque : cela est possible en ne triant pas les résultats. Idéal pour une exécution sur des agents ou du Big Data.)
• Filtrage sur les canaux et les règles pour les performances les plus efficaces.

Veuillez télécharger la dernière version stable de Hayabusa avec les binaires compilés ou compiler le code source à partir de la page Releases.

Nous fournissons des binaires pour les architectures suivantes :

• Linux ARM 64 bits GNU ( hayabusa-xxx-lin-aarch64-gnu )
• Linux Intel 64 bits GNU ( hayabusa-xxx-lin-x64-gnu )
• Linux Intel 64 bits MUSL ( hayabusa-xxx-lin-x64-musl )
• macOS ARM 64 bits ( hayabusa-xxx-mac-aarch64 )
• macOS Intel 64 bits ( hayabusa-xxx-mac-x64 )
• Windows ARM 64 bits ( hayabusa-xxx-win-aarch64.exe )
• Windows Intel 64 bits ( hayabusa-xxx-win-x64.exe )
• Windows Intel 32 bits ( hayabusa-xxx-win-x86.exe )

Pour une raison quelconque, le binaire Linux ARM MUSL ne fonctionne pas correctement, nous ne fournissons donc pas ce binaire. C'est hors de notre contrôle, nous prévoyons donc de le fournir à l'avenir lorsqu'il sera réparé.

Depuis la version 2.18.0, nous fournissons des packages Windows spéciaux qui utilisent des règles codées XOR fournies dans un seul fichier ainsi que tous les fichiers de configuration combinés dans un seul fichier (hébergé dans le référentiel hayabusa-encoded-rules). Téléchargez simplement les packages zip avec live-response dans le nom. Les fichiers zip ne comprennent que trois fichiers : le binaire Hayabusa, le fichier de règles codées XOR et le fichier de configuration. Le but de ces packages de réponse en direct est lors de l'exécution de Hayabusa sur les points de terminaison clients, nous voulons nous assurer que les analyseurs antivirus comme Windows Defender ne donnent pas de faux positifs sur les fichiers de règles .yml . Nous souhaitons également minimiser la quantité de fichiers écrits sur le système afin que les artefacts médico-légaux tels que le USN Journal ne soient pas écrasés.

Vous pouvez git clone le référentiel avec la commande suivante et compiler le binaire à partir du code source :

Attention : la branche principale du référentiel est destinée à des fins de développement. Vous pourrez donc peut-être accéder à de nouvelles fonctionnalités qui ne sont pas encore officiellement publiées. Cependant, il peut y avoir des bugs, alors considérez-le comme instable.

git clone https://github.com/Yamato-Security/hayabusa.git --recursive

Remarque : Si vous oubliez d'utiliser l'option --recursive, le dossier rules , qui est géré en tant que sous-module git, ne sera pas cloné.

Vous pouvez synchroniser le dossier rules et obtenir les dernières règles Hayabusa avec git pull --recurse-submodules ou utiliser la commande suivante :

hayabusa.exe update-rules

Si la mise à jour échoue, vous devrez peut-être renommer le dossier rules et réessayer.

Attention : lors de la mise à jour, les règles et les fichiers de configuration du dossier rules sont remplacés par les dernières règles et fichiers de configuration du référentiel hayabusa-rules. Toutes les modifications que vous apportez aux fichiers existants seront écrasées. Nous vous recommandons donc de faire des sauvegardes de tous les fichiers que vous modifiez avant la mise à jour. Si vous effectuez un réglage de niveau avec level-tuning , veuillez réajuster vos fichiers de règles après chaque mise à jour. Si vous ajoutez de nouvelles règles dans le dossier rules , elles ne seront ni écrasées ni supprimées lors de la mise à jour.

Si Rust est installé, vous pouvez compiler à partir des sources avec la commande suivante :

Remarque : Pour compiler, vous avez généralement besoin de la dernière version de Rust.

cargo build --release

Vous pouvez télécharger la dernière version instable depuis la branche principale ou la dernière version stable depuis la page Releases.

Assurez-vous de mettre régulièrement à jour Rust avec :

rustup update stable

Le binaire compilé sera affiché dans le dossier ./target/release .

Vous pouvez mettre à jour vers les dernières caisses Rust avant de compiler :

cargo update

S'il vous plaît laissez-nous savoir si quelque chose se casse après la mise à jour.

Vous pouvez créer des binaires 32 bits sur des systèmes Windows 64 bits avec les éléments suivants :

rustup install stable-i686-pc-windows-msvc
rustup target add i686-pc-windows-msvc
rustup run stable-i686-pc-windows-msvc cargo build --release

Avertissement : assurez-vous d'exécuter rustup install stable-i686-pc-windows-msvc chaque fois qu'il existe une nouvelle version stable de Rust, car rustup update stable ne mettra pas à jour le compilateur pour la compilation croisée et vous pourriez recevoir des erreurs de construction.

Si vous recevez des erreurs de compilation concernant openssl, vous devrez installer Homebrew puis installer les packages suivants :

brew install pkg-config
brew install openssl

Si vous recevez des erreurs de compilation concernant openssl, vous devrez installer le package suivant.

Distributions basées sur Ubuntu :

sudo apt install libssl-dev

Distributions basées sur Fedora :

sudo yum install openssl-devel

Sur un système d'exploitation Linux, installez d'abord la cible.

rustup install stable-x86_64-unknown-linux-musl
rustup target add x86_64-unknown-linux-musl

Compiler avec :

cargo build --release --target=x86_64-unknown-linux-musl

Avertissement : assurez-vous d'exécuter rustup install stable-x86_64-unknown-linux-musl chaque fois qu'il existe une nouvelle version stable de Rust, car rustup update stable ne mettra pas à jour le compilateur pour la compilation croisée et vous pourriez recevoir des erreurs de construction.

Le binaire MUSL sera créé dans le répertoire ./target/x86_64-unknown-linux-musl/release/ . Les binaires MUSL sont environ 15 % plus lents que les binaires GNU, cependant, ils sont plus portables entre différentes versions et distributions de Linux.

Vous pouvez recevoir une alerte de produits antivirus ou EDR lorsque vous essayez d'exécuter hayabusa ou même simplement lors du téléchargement des règles .yml , car il y aura des mots-clés tels que mimikatz et des commandes PowerShell suspectes dans la signature de détection. Il s'agit de faux positifs et vous devrez donc configurer des exclusions dans vos produits de sécurité pour permettre à Hayabusa de s'exécuter. Si vous vous inquiétez des logiciels malveillants ou des attaques de la chaîne d'approvisionnement, veuillez vérifier le code source d'hayabusa et compiler les binaires vous-même.

Vous pouvez rencontrer un temps d'exécution lent, en particulier lors de la première exécution après un redémarrage, en raison de la protection en temps réel de Windows Defender. Vous pouvez éviter cela en désactivant temporairement la protection en temps réel ou en ajoutant une exclusion au répertoire d'exécution hayabusa. (Veuillez prendre en compte les risques de sécurité avant de procéder ainsi.)

Dans une invite de commande/PowerShell ou un terminal Windows, exécutez simplement le binaire Windows 32 bits ou 64 bits approprié.

Lorsque vous utilisez l'invite de commande ou PowerShell intégrée dans Windows, vous pouvez recevoir une erreur indiquant que Hayabusa n'a pas pu charger de fichiers .evtx s'il y a un espace dans le chemin de votre fichier ou de votre répertoire. Afin de charger correctement les fichiers .evtx, assurez-vous de procéder comme suit :

1. Placez le chemin du fichier ou du répertoire entre guillemets doubles.
2. S'il s'agit d'un chemin de répertoire, assurez-vous de ne pas inclure de barre oblique inverse pour le dernier caractère.

Vous devez d'abord rendre le binaire exécutable.

chmod +x ./hayabusa

Ensuite, exécutez-le depuis le répertoire racine de Hayabusa :

./hayabusa

Depuis Terminal ou iTerm2, vous devez d’abord rendre le binaire exécutable.

chmod +x ./hayabusa

Ensuite, essayez de l'exécuter depuis le répertoire racine de Hayabusa :

./hayabusa

Sur la dernière version de macOS, vous pouvez recevoir l'erreur de sécurité suivante lorsque vous essayez de l'exécuter :

Cliquez sur "Annuler", puis dans les Préférences Système, ouvrez "Sécurité et confidentialité" et depuis l'onglet Général, cliquez sur "Autoriser quand même".

Après cela, essayez de l'exécuter à nouveau.

./hayabusa

L'avertissement suivant apparaîtra, veuillez donc cliquer sur "Ouvrir".

Vous devriez maintenant pouvoir exécuter hayabusa.

• computer-metrics : imprime le nombre d'événements en fonction des noms d'ordinateurs.
• eid-metrics : imprime le nombre et le pourcentage d'événements en fonction de l'ID d'événement.
• logon-summary : Imprime un résumé des événements de connexion.
• pivot-keywords-list : Imprimez une liste de mots-clés suspects sur lesquels pivoter.
• search : recherchez tous les événements par mot-clé(s) ou expressions régulières

• csv-timeline : Enregistrez la chronologie au format CSV.
• json-timeline : Enregistrez la chronologie au format JSON/JSONL.
• level-tuning : Ajustez de manière personnalisée le level des alertes.
• list-profiles : Répertorie les profils de sortie disponibles.
• set-default-profile : modifiez le profil par défaut.
• update-rules : synchronisez les règles avec les dernières règles dans le référentiel GitHub hayabusa-rules.

• help : Imprimer ce message ou l'aide de la ou des sous-commande(s) donnée(s)
• list-contributors : Imprimer la liste des contributeurs

Vous pouvez utiliser la commande computer-metrics pour vérifier le nombre d'événements en fonction de chaque ordinateur défini dans le champ <System><Computer> . Sachez que vous ne pouvez pas vous fier entièrement au champ Computer pour séparer les événements en fonction de leur ordinateur d'origine. Windows 11 utilisera parfois des noms Computer complètement différents lors de l'enregistrement dans les journaux d'événements. De plus, Windows 10 enregistrera parfois le nom Computer en minuscules. Cette commande n'utilise aucune règle de détection et analysera donc tous les événements. C'est une bonne commande à exécuter pour voir rapidement quels ordinateurs ont le plus de journaux. Avec ces informations, vous pouvez ensuite utiliser les options --include-computer ou --exclude-computer lors de la création de vos chronologies pour rendre votre génération de chronologie plus efficace en créant plusieurs chronologies en fonction de l'ordinateur ou en excluant des événements de certains ordinateurs.

 Usage: computer-metrics <INPUT> [OPTIONS]

Input:
  -d, --directory <DIR>  Directory of multiple .evtx files
  -f, --file <FILE>      File path to one .evtx file
  -l, --live-analysis    Analyze the local C:WindowsSystem32winevtLogs folder

General Options:
  -C, --clobber                        Overwrite files when saving
  -h, --help                           Show the help menu
  -J, --JSON-input                     Scan JSON formatted logs instead of .evtx (.json or .jsonl)
  -Q, --quiet-errors                   Quiet errors mode: do not save error logs
  -x, --recover-records                Carve evtx records from slack space (default: disabled)
  -c, --rules-config <DIR>             Specify custom rule config directory (default: ./rules/config)
      --target-file-ext <FILE-EXT...>  Specify additional evtx file extensions (ex: evtx_data)
  -t, --threads <NUMBER>               Number of threads (default: optimal number for performance)

Filtering:
      --timeline-offset <OFFSET>  Scan recent events based on an offset (ex: 1y, 3M, 30d, 24h, 30m)

Output:
  -o, --output <FILE>  Save the results in CSV format (ex: computer-metrics.csv)

Display Settings:
      --no-color  Disable color output
  -q, --quiet     Quiet mode: do not display the launch banner
  -v, --verbose   Output verbose information

• Imprimer les métriques du nom de l'ordinateur à partir d'un répertoire : hayabusa.exe computer-metrics -d ../logs
• Enregistrez les résultats dans un fichier CSV : hayabusa.exe computer-metrics -d ../logs -o computer-metrics.csv

Vous pouvez utiliser la commande eid-metrics pour imprimer le nombre total et le pourcentage d'ID d'événement (champ <System><EventID> ) séparés par canaux. Cette commande n'utilise aucune règle de détection et analysera donc tous les événements.

 Usage: eid-metrics <INPUT> [OPTIONS]

Input:
  -d, --directory <DIR>  Directory of multiple .evtx files
  -f, --file <FILE>      File path to one .evtx file
  -l, --live-analysis    Analyze the local C:WindowsSystem32winevtLogs folder

General Options:
  -C, --clobber                        Overwrite files when saving
  -h, --help                           Show the help menu
  -J, --JSON-input                     Scan JSON formatted logs instead of .evtx (.json or .jsonl)
  -Q, --quiet-errors                   Quiet errors mode: do not save error logs
  -x, --recover-records                Carve evtx records from slack space (default: disabled)
  -c, --rules-config <DIR>             Specify custom rule config directory (default: ./rules/config)
      --target-file-ext <FILE-EXT...>  Specify additional evtx file extensions (ex: evtx_data)
  -t, --threads <NUMBER>               Number of threads (default: optimal number for performance)

Filtering:
      --exclude-computer <COMPUTER...>  Do not scan specified computer names (ex: ComputerA) (ex: ComputerA,ComputerB)
      --include-computer <COMPUTER...>  Scan only specified computer names (ex: ComputerA) (ex: ComputerA,ComputerB)
      --timeline-offset <OFFSET>        Scan recent events based on an offset (ex: 1y, 3M, 30d, 24h, 30m)

Output:
  -o, --output <FILE>  Save the Metrics in CSV format (ex: metrics.csv)

Display Settings:
      --no-color  Disable color output
  -q, --quiet     Quiet mode: do not display the launch banner
  -v, --verbose   Output verbose information

Time Format:
      --European-time     Output timestamp in European time format (ex: 22-02-2022 22:00:00.123 +02:00)
      --ISO-8601          Output timestamp in ISO-8601 format (ex: 2022-02-22T10:10:10.1234567Z) (Always UTC)
      --RFC-2822          Output timestamp in RFC 2822 format (ex: Fri, 22 Feb 2022 22:00:00 -0600)
      --RFC-3339          Output timestamp in RFC 3339 format (ex: 2022-02-22 22:00:00.123456-06:00)
      --US-military-time  Output timestamp in US military time format (ex: 02-22-2022 22:00:00.123 -06:00)
      --US-time           Output timestamp in US time format (ex: 02-22-2022 10:00:00.123 PM -06:00)
  -U, --UTC               Output time in UTC format (default: local time)

• Imprimer les métriques d'ID d'événement à partir d'un seul fichier : hayabusa.exe eid-metrics -f Security.evtx
• Imprimer les métriques d'ID d'événement à partir d'un répertoire : hayabusa.exe eid-metrics -d ../logs
• Enregistrez les résultats dans un fichier CSV : hayabusa.exe eid-metrics -f Security.evtx -o eid-metrics.csv

Le canal, les ID d'événement et les titres des événements sont définis dans rules/config/channel_eid_info.txt .

Exemple:

 Channel,EventID,EventTitle
Microsoft-Windows-Sysmon/Operational,1,Process Creation.
Microsoft-Windows-Sysmon/Operational,2,File Creation Timestamp Changed. (Possible Timestomping)
Microsoft-Windows-Sysmon/Operational,3,Network Connection.
Microsoft-Windows-Sysmon/Operational,4,Sysmon Service State Changed.

Vous pouvez utiliser la commande logon-summary pour afficher un résumé des informations de connexion (noms d'utilisateur de connexion et nombre de connexions réussies et échouées). Vous pouvez afficher les informations de connexion pour un fichier evtx avec -f ou plusieurs fichiers evtx avec l'option -d .

 Usage: logon-summary <INPUT> [OPTIONS]

Input:
  -d, --directory <DIR>  Directory of multiple .evtx files
  -f, --file <FILE>      File path to one .evtx file
  -l, --live-analysis    Analyze the local C:WindowsSystem32winevtLogs folder

General Options:
  -C, --clobber                        Overwrite files when saving
  -h, --help                           Show the help menu
  -J, --JSON-input                     Scan JSON formatted logs instead of .evtx (.json or .jsonl)
  -Q, --quiet-errors                   Quiet errors mode: do not save error logs
  -x, --recover-records                Carve evtx records from slack space (default: disabled)
  -c, --rules-config <DIR>             Specify custom rule config directory (default: ./rules/config)
      --target-file-ext <FILE-EXT...>  Specify additional evtx file extensions (ex: evtx_data)
  -t, --threads <NUMBER>               Number of threads (default: optimal number for performance)

Filtering:
      --exclude-computer <COMPUTER...>  Do not scan specified computer names (ex: ComputerA) (ex: ComputerA,ComputerB)
      --include-computer <COMPUTER...>  Scan only specified computer names (ex: ComputerA) (ex: ComputerA,ComputerB)
      --timeline-end <DATE>             End time of the event logs to load (ex: "2022-02-22 23:59:59 +09:00")
      --timeline-offset <OFFSET>        Scan recent events based on an offset (ex: 1y, 3M, 30d, 24h, 30m)
      --timeline-start <DATE>           Start time of the event logs to load (ex: "2020-02-22 00:00:00 +09:00")

Output:
  -o, --output <FILENAME-PREFIX>  Save the logon summary to two CSV files (ex: -o logon-summary)

Display Settings:
      --no-color  Disable color output
  -q, --quiet     Quiet mode: do not display the launch banner
  -v, --verbose   Output verbose information

Time Format:
      --European-time     Output timestamp in European time format (ex: 22-02-2022 22:00:00.123 +02:00)
      --ISO-8601          Output timestamp in ISO-8601 format (ex: 2022-02-22T10:10:10.1234567Z) (Always UTC)
      --RFC-2822          Output timestamp in RFC 2822 format (ex: Fri, 22 Feb 2022 22:00:00 -0600)
      --RFC-3339          Output timestamp in RFC 3339 format (ex: 2022-02-22 22:00:00.123456-06:00)
      --US-military-time  Output timestamp in US military time format (ex: 02-22-2022 22:00:00.123 -06:00)
      --US-time           Output timestamp in US time format (ex: 02-22-2022 10:00:00.123 PM -06:00)
  -U, --UTC               Output time in UTC format (default: local time)

• Imprimer le résumé de connexion : hayabusa.exe logon-summary -f Security.evtx
• Enregistrer les résultats du résumé de connexion : hayabusa.exe logon-summary -d ../logs -o logon-summary.csv

Vous pouvez utiliser la commande pivot-keywords-list pour créer une liste de mots-clés pivot uniques afin d'identifier rapidement les utilisateurs anormaux, les noms d'hôte, les processus, etc... ainsi que de corréler les événements.

Important : par défaut, hayabusa renverra les résultats de tous les événements (informatifs et supérieurs), nous vous recommandons donc fortement de combiner la commande pivot-keywords-list avec l'option -m, --min-level . Par exemple, commencez par créer uniquement des mots-clés à partir d'alertes critical avec -m critical , puis continuez avec -m high , -m medium , etc... Il y aura très probablement des mots-clés courants dans vos résultats qui correspondront à de nombreux événements normaux, Ainsi, après avoir vérifié manuellement les résultats et créé une liste de mots-clés uniques dans un seul fichier, vous pouvez ensuite créer une chronologie réduite des activités suspectes avec une commande telle que grep -f keywords.txt timeline.csv .

 Usage: pivot-keywords-list <INPUT> [OPTIONS]

Input:
  -d, --directory <DIR>  Directory of multiple .evtx files
  -f, --file <FILE>      File path to one .evtx file
  -l, --live-analysis    Analyze the local C:WindowsSystem32winevtLogs folder

General Options:
  -C, --clobber                        Overwrite files when saving
  -h, --help                           Show the help menu
  -J, --JSON-input                     Scan JSON formatted logs instead of .evtx (.json or .jsonl)
  -w, --no-wizard                      Do not ask questions. Scan for all events and alerts
  -Q, --quiet-errors                   Quiet errors mode: do not save error logs
  -x, --recover-records                Carve evtx records from slack space (default: disabled)
  -c, --rules-config <DIR>             Specify custom rule config directory (default: ./rules/config)
      --target-file-ext <FILE-EXT...>  Specify additional evtx file extensions (ex: evtx_data)
  -t, --threads <NUMBER>               Number of threads (default: optimal number for performance)

Filtering:
  -E, --EID-filter                      Scan only common EIDs for faster speed (./rules/config/target_event_IDs.txt)
  -D, --enable-deprecated-rules         Enable rules with a status of deprecated
  -n, --enable-noisy-rules              Enable rules set to noisy (./rules/config/noisy_rules.txt)
  -u, --enable-unsupported-rules        Enable rules with a status of unsupported
  -e, --exact-level <LEVEL>             Only load rules with a specific level (informational, low, medium, high, critical)
      --exclude-computer <COMPUTER...>  Do not scan specified computer names (ex: ComputerA) (ex: ComputerA,ComputerB)
      --exclude-eid <EID...>            Do not scan specific EIDs for faster speed (ex: 1) (ex: 1,4688)
      --exclude-status <STATUS...>      Do not load rules according to status (ex: experimental) (ex: stable,test)
      --exclude-tag <TAG...>            Do not load rules with specific tags (ex: sysmon)
      --include-computer <COMPUTER...>  Scan only specified computer names (ex: ComputerA) (ex: ComputerA,ComputerB)
      --include-eid <EID...>            Scan only specified EIDs for faster speed (ex: 1) (ex: 1,4688)
      --include-status <STATUS...>      Only load rules with specific status (ex: experimental) (ex: stable,test)
      --include-tag <TAG...>            Only load rules with specific tags (ex: attack.execution,attack.discovery)
  -m, --min-level <LEVEL>               Minimum level for rules to load (default: informational)
      --timeline-end <DATE>             End time of the event logs to load (ex: "2022-02-22 23:59:59 +09:00")
      --timeline-offset <OFFSET>        Scan recent events based on an offset (ex: 1y, 3M, 30d, 24h, 30m)
      --timeline-start <DATE>           Start time of the event logs to load (ex: "2020-02-22 00:00:00 +09:00")

Output:
  -o, --output <FILENAME-PREFIX>  Save pivot words to separate files (ex: PivotKeywords)

Display Settings:
      --no-color  Disable color output
  -q, --quiet     Quiet mode: do not display the launch banner
  -v, --verbose   Output verbose information

• Afficher les mots-clés pivots à l'écran : hayabusa.exe pivot-keywords-list -d ../logs -m critical
• Créez une liste de mots-clés pivots à partir des alertes critiques et enregistrez les résultats. (Les résultats seront enregistrés dans keywords-Ip Addresses.txt , keywords-Users.txt , etc...) :

 hayabusa.exe pivot-keywords-list -d ../logs -m critical -o keywords`

Vous pouvez personnaliser les mots-clés que vous souhaitez rechercher en modifiant ./rules/config/pivot_keywords.txt . Cette page est le paramètre par défaut.

Le format est KeywordName.FieldName . Par exemple, lors de la création de la liste des Users , hayabusa répertoriera toutes les valeurs dans les champs SubjectUserName , TargetUserName et User .

La commande search vous permettra de rechercher par mot-clé tous les événements. (Pas seulement les résultats de détection d'Hayabusa.) Ceci est utile pour déterminer s'il existe des preuves d'événements qui ne sont pas détectés par Hayabusa.

 Usage: hayabusa.exe search <INPUT> <--keywords "<KEYWORDS>" OR --regex "<REGEX>"> [OPTIONS]

Display Settings:
      --no-color  Disable color output
  -q, --quiet     Quiet mode: do not display the launch banner
  -v, --verbose   Output verbose information

General Options:
  -C, --clobber                        Overwrite files when saving
  -h, --help                           Show the help menu
  -Q, --quiet-errors                   Quiet errors mode: do not save error logs
  -x, --recover-records                Carve evtx records from slack space (default: disabled)
  -c, --rules-config <DIR>             Specify custom rule config directory (default: ./rules/config)
      --target-file-ext <FILE-EXT...>  Specify additional evtx file extensions (ex: evtx_data)
  -t, --threads <NUMBER>               Number of threads (default: optimal number for performance)

Input:
  -d, --directory <DIR>  Directory of multiple .evtx files
  -f, --file <FILE>      File path to one .evtx file
  -l, --live-analysis    Analyze the local C:WindowsSystem32winevtLogs folder

Filtering:
  -a, --and-logic                 Search keywords with AND logic (default: OR)
  -F, --filter <FILTER...>        Filter by specific field(s)
  -i, --ignore-case               Case-insensitive keyword search
  -k, --keyword <KEYWORD...>      Search by keyword(s)
  -r, --regex <REGEX>             Search by regular expression
      --timeline-offset <OFFSET>  Scan recent events based on an offset (ex: 1y, 3M, 30d, 24h, 30m)

Output:
  -J, --JSON-output    Save the search results in JSON format (ex: -J -o results.json)
  -L, --JSONL-output   Save the search results in JSONL format (ex: -L -o results.jsonl)
  -M, --multiline      Output event field information in multiple rows for CSV output
  -o, --output <FILE>  Save the search results in CSV format (ex: search.csv)

Time Format:
      --European-time     Output timestamp in European time format (ex: 22-02-2022 22:00:00.123 +02:00)
      --ISO-8601          Output timestamp in ISO-8601 format (ex: 2022-02-22T10:10:10.1234567Z) (Always UTC)
      --RFC-2822          Output timestamp in RFC 2822 format (ex: Fri, 22 Feb 2022 22:00:00 -0600)
      --RFC-3339          Output timestamp in RFC 3339 format (ex: 2022-02-22 22:00:00.123456-06:00)
      --US-military-time  Output timestamp in US military time format (ex: 02-22-2022 22:00:00.123 -06:00)
      --US-time           Output timestamp in US time format (ex: 02-22-2022 10:00:00.123 PM -06:00)
  -U, --UTC               Output time in UTC format (default: local time)

• Recherchez dans le répertoire ../hayabusa-sample-evtx le mot-clé mimikatz :