hayabusa

Hayabusa adalah generator garis waktu forensik cepat log peristiwa Windows dan alat berburu ancaman yang dibuat oleh grup Keamanan Yamato di Jepang. Hayabusa berarti "elang peregrine" dalam bahasa Jepang dan terpilih karena elang peregrine adalah hewan tercepat di dunia, hebat dalam berburu dan sangat mudah dilatih. Itu ditulis dalam Rust dan mendukung multi-threading agar secepat mungkin. Kami telah menyediakan alat untuk mengubah aturan Sigma ke dalam format aturan Hayabusa. Aturan deteksi Hayabusa yang kompatibel dengan Sigma ditulis dalam YML agar mudah disesuaikan dan diperluas. Hayabusa dapat dijalankan pada sistem tunggal yang berjalan untuk analisis langsung, dengan mengumpulkan log dari satu atau beberapa sistem untuk analisis offline, atau dengan menjalankan artefak Hayabusa dengan Velociraptor untuk perburuan ancaman dan respons insiden di seluruh perusahaan. Outputnya akan digabungkan ke dalam satu timeline CSV untuk kemudahan analisis di LibreOffice, Timeline Explorer, Elastic Stack, Timesketch, dll...

• EnableWindowsLogSettings - Dokumentasi dan skrip untuk mengaktifkan log peristiwa Windows dengan benar.
• Hayabusa Encoded Rules - Sama seperti repositori Hayabusa Rules tetapi aturan dan file konfigurasi disimpan dalam satu file dan di-XOR untuk mencegah false positif dari anti-virus.
• Aturan Hayabusa - Hayabusa dan aturan deteksi Sigma yang dikurasi menggunakan Hayabusa.
• Hayabusa EVTX - Garpu peti evtx yang lebih terawat.
• Hayabusa Sample EVTXs - Contoh file evtx yang akan digunakan untuk menguji aturan deteksi hayabusa/sigma.
• Presentasi - Presentasi dari pembicaraan yang kami berikan tentang alat dan sumber daya kami.
• Konverter Sigma ke Hayabusa - Menyusun aturan Sigma berbasis log peristiwa Windows upstream ke dalam bentuk yang lebih mudah digunakan.
• Takajo - Penganalisis hasil hayabusa.
• WELA (Windows Event Log Analyzer) - Penganalisis untuk log peristiwa Windows yang ditulis di PowerShell. (Tidak digunakan lagi dan digantikan oleh Takajo.)

• AllthingsTimesketch - Alur kerja NodeRED yang mengimpor hasil Plaso dan Hayabusa ke Timesketch.
• LimaCharlie - Menyediakan alat dan infrastruktur keamanan berbasis cloud untuk memenuhi kebutuhan Anda.
• OpenRelik - Platform sumber terbuka (Apache-2.0) yang dirancang untuk menyederhanakan investigasi forensik digital kolaboratif.
• Splunk4DFIR - Jalankan instans splunk dengan cepat menggunakan Docker untuk menelusuri log dan keluaran alat selama penyelidikan Anda.
• Velociraptor - Alat untuk mengumpulkan informasi status berbasis host menggunakan kueri The Velociraptor Query Language (VQL).

• Tentang Hayabusa
• Proyek Pendamping
• Proyek Pihak Ketiga Yang Menggunakan Hayabusa
  • Daftar isi
  • Tujuan Utama
    • Perburuan Ancaman dan DFIR di seluruh Perusahaan
    • Pembuatan Garis Waktu Forensik Cepat
• Tangkapan layar
  • Rintisan
  • Keluaran Terminal Garis Waktu DFIR
  • Hasil Pencarian Kata Kunci
  • Timeline Frekuensi Deteksi (opsi -T )
  • Ringkasan Hasil
  • Ringkasan Hasil HTML (opsi -H )
  • Analisis Garis Waktu DFIR di LibreOffice ( -M Output Multiline)
  • Analisis Garis Waktu DFIR di Timeline Explorer
  • Pemfilteran Peringatan Kritis dan Pengelompokan Komputer di Timeline Explorer
  • Analisis dengan Elastic Stack Dashboard
  • Analisis dalam Sketsa Waktu
• Mengimpor dan Menganalisis Hasil Timeline
• Menganalisis hasil berformat JSON dengan JQ
• Fitur
• Unduhan
  • Paket respons langsung Windows
• Kloning Git
• Tingkat Lanjut: Kompilasi Dari Sumber (Opsional)
  • Memperbarui Paket Rust
  • Kompilasi silang Biner Windows 32-bit
  • catatan kompilasi macOS
  • Catatan Kompilasi Linux
  • Biner MUSL Linux yang dikompilasi silang
• Menjalankan Hayabusa
  • Perhatian: Peringatan Anti-Virus/EDR dan Waktu Proses yang Lambat
  • jendela
    • Kesalahan saat mencoba memindai file atau direktori dengan spasi di jalurnya
  • Linux
  • macOS
• Daftar Perintah
  • Perintah Analisis:
  • Perintah Garis Waktu DFIR:
  • Perintah Umum:
• Penggunaan Perintah
  • Perintah Analisis
    • perintah computer-metrics
      • contoh perintah computer-metrics
      • tangkapan layar computer-metrics
    • perintah eid-metrics
      • contoh perintah eid-metrics
      • file konfigurasi perintah eid-metrics
      • tangkapan layar eid-metrics
    • perintah logon-summary
      • contoh perintah logon-summary
      • tangkapan layar logon-summary
    • perintah pivot-keywords-list
      • contoh perintah pivot-keywords-list
      • file konfigurasi pivot-keywords-list
    • perintah search
      • contoh perintah search
      • search file konfigurasi perintah
  • Perintah Garis Waktu DFIR
    • Pemindaian Wisaya
      • Aturan Inti
      • Aturan Inti+
      • Aturan Inti++
      • Aturan Tambahan Ancaman yang Muncul (ET).
      • Aturan Tambahan Perburuan Ancaman (TH).
    • Log peristiwa berbasis saluran dan pemfilteran aturan
    • perintah csv-timeline
      • contoh perintah csv-timeline
      • Tingkat Lanjut - Pengayaan Log GeoIP
        • File konfigurasi GeoIP
        • Pembaruan otomatis database GeoIP
      • file konfigurasi perintah csv-timeline
    • perintah json-timeline
      • contoh perintah json-timeline dan file konfigurasi
    • perintah level-tuning
      • contoh perintah level-tuning
      • file konfigurasi level-tuning
    • perintah list-profiles
    • perintah set-default-profile
      • contoh perintah set-default-profile
    • perintah update-rules
      • contoh perintah update-rules
• Keluaran Garis Waktu
  • Profil Keluaran
    • 1. keluaran profil minimal
    • 2. keluaran profil standard
    • 3. keluaran profil verbose
    • 4. keluaran profil all-field-info
    • 5. keluaran profil all-field-info-verbose
    • 6. keluaran profil super-verbose
    • 7. keluaran profil timesketch-minimal
    • 8. keluaran profil timesketch-verbose
    • Perbandingan Profil
    • Alias ​​Bidang Profil
      • Alias ​​Bidang Profil Ekstra
  • Singkatan Tingkat
  • Singkatan Taktik MITRE ATT&CK
  • Singkatan Saluran
  • Singkatan Lainnya
  • Bilah Kemajuan
  • Keluaran Warna
  • Ringkasan Hasil
    • Garis Waktu Frekuensi Deteksi
• Aturan Hayabusa
  • Aturan Sigma vs Hayabusa (Kompatibel dengan Sigma Bawaan).
• Penganalisis Log Peristiwa Windows Lainnya dan Sumber Daya Terkait
• Rekomendasi Pencatatan Windows
• Proyek Terkait Sysmon
• Dokumentasi Komunitas
  • Bahasa inggris
  • Jepang
• Kontribusi
• Pengiriman Bug
• Lisensi
• Twitter

Hayabusa saat ini memiliki lebih dari 4000 aturan Sigma dan lebih dari 170 aturan deteksi bawaan Hayabusa dan lebih banyak aturan yang ditambahkan secara berkala. Ini dapat digunakan untuk perburuan ancaman proaktif di seluruh perusahaan serta DFIR (Digital Forensics and Incident Response) secara gratis dengan artefak Hayabusa Velociraptor. Dengan menggabungkan dua alat sumber terbuka ini, pada dasarnya Anda dapat mereproduksi SIEM secara surut ketika tidak ada pengaturan SIEM di lingkungan. Anda dapat mempelajari cara melakukan ini dengan menonton panduan Velociraptor Eric Capuano di sini.

Analisis log peristiwa Windows secara tradisional merupakan proses yang sangat panjang dan membosankan karena log peristiwa Windows 1) dalam format data yang sulit dianalisis dan 2) sebagian besar data berupa gangguan dan tidak berguna untuk penyelidikan. Tujuan Hayabusa adalah untuk mengekstrak hanya data yang berguna dan menyajikannya dalam format yang sesingkat mungkin dan mudah dibaca yang dapat digunakan tidak hanya oleh analis yang terlatih secara profesional tetapi juga administrator sistem Windows mana pun. Hayabusa berharap analis dapat menyelesaikan 80% pekerjaannya dalam 20% waktu jika dibandingkan dengan analisis log peristiwa Windows tradisional.

Anda dapat mempelajari cara menganalisis garis waktu CSV di Excel dan Timeline Explorer di sini.

Anda dapat mempelajari cara mengimpor file CSV ke Elastic Stack di sini.

Anda dapat mempelajari cara mengimpor file CSV ke Timesketch di sini.

Anda dapat mempelajari cara menganalisis hasil berformat JSON dengan jq di sini.

• Dukungan lintas platform: Windows, Linux, macOS.
• Dikembangkan di Rust agar memori aman dan cepat.
• Dukungan multi-thread memberikan peningkatan kecepatan hingga 5x.
• Membuat garis waktu tunggal yang mudah dianalisis untuk investigasi forensik dan respons insiden.
• Perburuan ancaman berdasarkan tanda tangan IoC yang ditulis dengan aturan hayabusa berbasis YML yang mudah dibaca/dibuat/diedit.
• Dukungan aturan Sigma untuk mengubah aturan sigma menjadi aturan hayabusa.
• Saat ini ia mendukung sebagian besar aturan sigma dibandingkan dengan alat serupa lainnya dan bahkan mendukung aturan penghitungan dan agregator baru seperti |equalsfield dan |endswithfield .
• Metrik komputer. (Berguna untuk menyaring masuk/keluar komputer tertentu dengan jumlah kejadian yang banyak.)
• Metrik ID Peristiwa. (Berguna untuk mendapatkan gambaran tentang jenis peristiwa yang ada dan untuk menyesuaikan pengaturan log Anda.)
• Konfigurasi penyetelan aturan dengan mengecualikan aturan yang tidak diperlukan atau berisik.
• Pemetaan taktik MITRE ATT&CK.
• Penyetelan tingkat aturan.
• Buat daftar kata kunci pivot unik untuk dengan cepat mengidentifikasi pengguna abnormal, nama host, proses, dll... serta menghubungkan peristiwa.
• Keluarkan semua bidang untuk penyelidikan yang lebih menyeluruh.
• Ringkasan masuk yang berhasil dan gagal.
• Perburuan ancaman di seluruh perusahaan dan DFIR di semua titik akhir dengan Velociraptor.
• Output ke Laporan Ringkasan CSV, JSON/JSONL dan HTML.
• Pembaruan aturan Sigma harian.
• Dukungan untuk input log berformat JSON.
• Normalisasi bidang log. (Mengonversi beberapa bidang dengan konvensi penamaan berbeda menjadi nama bidang yang sama.)
• Pengayaan log dengan menambahkan informasi GeoIP (ASN, kota, negara) ke alamat IP.
• Telusuri semua peristiwa untuk kata kunci atau ekspresi reguler.
• Pemetaan data lapangan. (Contoh: 0xc0000234 -> ACCOUNT LOCKED )
• Catatan Evtx diukir dari ruang kendur evtx.
• De-duplikasi acara saat mengeluarkan. (Berguna ketika catatan pemulihan diaktifkan atau ketika Anda menyertakan file evtx yang dicadangkan, file evtx dari VSS, dll...)
• Pindai wizard pengaturan untuk membantu memilih aturan mana yang akan diaktifkan dengan lebih mudah. (Untuk mengurangi positif palsu, dll...)
• Penguraian dan ekstraksi bidang log klasik PowerShell.
• Penggunaan memori rendah. (Catatan: hal ini dapat dilakukan dengan tidak mengurutkan hasil. Paling baik jika dijalankan pada agen atau data besar.)
• Memfilter Saluran dan Aturan untuk kinerja paling efisien.

Silakan unduh Hayabusa versi stabil terbaru dengan binari yang telah dikompilasi atau kompilasi kode sumber dari halaman Rilis.

Kami menyediakan biner untuk arsitektur berikut:

• Linux ARM 64-bit GNU ( hayabusa-xxx-lin-aarch64-gnu )
• Linux Intel 64-bit GNU ( hayabusa-xxx-lin-x64-gnu )
• Linux Intel 64-bit MUSL ( hayabusa-xxx-lin-x64-musl )
• macOS ARM 64-bit ( hayabusa-xxx-mac-aarch64 )
• macOS Intel 64-bit ( hayabusa-xxx-mac-x64 )
• Windows ARM 64-bit ( hayabusa-xxx-win-aarch64.exe )
• Windows Intel 64-bit ( hayabusa-xxx-win-x64.exe )
• Windows Intel 32-bit ( hayabusa-xxx-win-x86.exe )

Karena alasan tertentu biner Linux ARM MUSL tidak berjalan dengan baik sehingga kami tidak menyediakan biner tersebut. Hal ini berada di luar kendali kami, jadi kami berencana untuk menyediakannya di masa mendatang setelah masalah tersebut diperbaiki.

Mulai v2.18.0, kami menyediakan paket Windows khusus yang menggunakan aturan berkode XOR yang disediakan dalam satu file serta semua file konfigurasi digabungkan menjadi satu file (dihosting di repositori aturan berkode hayabusa). Cukup unduh paket zip dengan live-response di namanya. File zip hanya menyertakan tiga file: biner Hayabusa, file aturan yang dikodekan XOR, dan file konfigurasi. Tujuan dari paket respons langsung ini adalah ketika menjalankan Hayabusa di titik akhir klien, kami ingin memastikan bahwa pemindai anti-virus seperti Windows Defender tidak memberikan kesalahan positif pada file aturan .yml . Selain itu, kami ingin meminimalkan jumlah file yang ditulis ke sistem sehingga artefak forensik seperti Jurnal USN tidak tertimpa.

Anda dapat git clone repositori dengan perintah berikut dan mengkompilasi biner dari kode sumber:

Peringatan: Cabang utama repositori adalah untuk tujuan pengembangan sehingga Anda mungkin dapat mengakses fitur-fitur baru yang belum dirilis secara resmi, namun mungkin ada bug jadi anggap saja tidak stabil.

git clone https://github.com/Yamato-Security/hayabusa.git --recursive

Catatan: Jika Anda lupa menggunakan opsi --recursive, folder rules , yang dikelola sebagai submodul git, tidak akan dikloning.

Anda dapat menyinkronkan folder rules dan mendapatkan aturan Hayabusa terbaru dengan git pull --recurse-submodules atau gunakan perintah berikut:

hayabusa.exe update-rules

Jika pembaruan gagal, Anda mungkin perlu mengganti nama folder rules dan coba lagi.

Perhatian: Saat memperbarui, file aturan dan konfigurasi di folder rules diganti dengan file aturan dan konfigurasi terbaru di repositori hayabusa-rules. Setiap perubahan yang Anda buat pada file yang ada akan ditimpa, jadi kami menyarankan Anda membuat cadangan file apa pun yang Anda edit sebelum memperbarui. Jika Anda melakukan penyetelan level dengan level-tuning , harap sesuaikan ulang file aturan Anda setelah setiap pembaruan. Jika Anda menambahkan aturan baru di dalam folder rules , aturan tersebut tidak akan ditimpa atau dihapus saat memperbarui.

Jika Anda telah menginstal Rust, Anda dapat mengkompilasi dari sumber dengan perintah berikut:

Catatan: Untuk mengkompilasi, Anda biasanya memerlukan Rust versi terbaru.

cargo build --release

Anda dapat mengunduh versi tidak stabil terbaru dari cabang utama atau versi stabil terbaru dari halaman Rilis.

Pastikan untuk memperbarui Rust secara berkala dengan:

rustup update stable

Biner yang dikompilasi akan dikeluarkan di folder ./target/release .

Anda dapat memperbarui ke peti Rust terbaru sebelum mengompilasi:

cargo update

Harap beri tahu kami jika ada yang rusak setelah Anda memperbarui.

Anda dapat membuat biner 32-bit pada sistem Windows 64-bit dengan yang berikut ini:

rustup install stable-i686-pc-windows-msvc
rustup target add i686-pc-windows-msvc
rustup run stable-i686-pc-windows-msvc cargo build --release

Peringatan: Pastikan untuk menjalankan rustup install stable-i686-pc-windows-msvc setiap kali ada versi stabil Rust yang baru karena rustup update stable tidak akan memperbarui kompiler untuk kompilasi silang dan Anda mungkin menerima kesalahan build.

Jika Anda menerima kesalahan kompilasi tentang openssl, Anda perlu menginstal Homebrew dan kemudian menginstal paket berikut:

brew install pkg-config
brew install openssl

Jika Anda menerima kesalahan kompilasi tentang openssl, Anda perlu menginstal paket berikut.

Distro berbasis Ubuntu:

sudo apt install libssl-dev

Distro berbasis Fedora:

sudo yum install openssl-devel

Pada OS Linux, instal terlebih dahulu targetnya.

rustup install stable-x86_64-unknown-linux-musl
rustup target add x86_64-unknown-linux-musl

Kompilasi dengan:

cargo build --release --target=x86_64-unknown-linux-musl

Peringatan: Pastikan untuk menjalankan rustup install stable-x86_64-unknown-linux-musl setiap kali ada versi stabil Rust yang baru karena rustup update stable tidak akan memperbarui kompiler untuk kompilasi silang dan Anda mungkin menerima kesalahan build.

Biner MUSL akan dibuat di direktori ./target/x86_64-unknown-linux-musl/release/ . Biner MUSL sekitar 15% lebih lambat dibandingkan biner GNU, namun lebih portabel di berbagai versi dan distribusi linux.

Anda mungkin menerima peringatan dari produk anti-virus atau EDR saat mencoba menjalankan hayabusa atau bahkan saat mengunduh aturan .yml karena akan ada kata kunci seperti mimikatz dan perintah PowerShell yang mencurigakan di tanda tangan deteksi. Ini adalah kesalahan positif sehingga perlu mengonfigurasi pengecualian di produk keamanan Anda agar hayabusa dapat berjalan. Jika Anda khawatir tentang malware atau serangan rantai pasokan, silakan periksa kode sumber hayabusa dan kompilasi sendiri binarinya.

Anda mungkin mengalami runtime yang lambat terutama saat pertama kali dijalankan setelah reboot karena perlindungan real-time dari Windows Defender. Anda dapat menghindari hal ini dengan menonaktifkan sementara perlindungan real-time atau menambahkan pengecualian ke direktori runtime hayabusa. (Harap pertimbangkan risiko keamanan sebelum melakukan ini.)

Di Command/PowerShell Prompt atau Terminal Windows, jalankan saja biner Windows 32-bit atau 64-bit yang sesuai.

Saat menggunakan Command atau PowerShell prompt bawaan di Windows, Anda mungkin menerima pesan kesalahan bahwa Hayabusa tidak dapat memuat file .evtx apa pun jika ada ruang di jalur file atau direktori Anda. Untuk memuat file .evtx dengan benar, pastikan untuk melakukan hal berikut:

1. Lampirkan jalur file atau direktori dengan tanda kutip ganda.
2. Jika ini adalah jalur direktori, pastikan Anda tidak menyertakan garis miring terbalik untuk karakter terakhir.

Pertama-tama Anda harus membuat biner dapat dieksekusi.

chmod +x ./hayabusa

Kemudian jalankan dari direktori root Hayabusa:

./hayabusa

Dari Terminal atau iTerm2, Anda harus membuat binernya dapat dieksekusi terlebih dahulu.

chmod +x ./hayabusa

Lalu, coba jalankan dari direktori root Hayabusa:

./hayabusa

Pada macOS versi terbaru, Anda mungkin menerima kesalahan keamanan berikut saat mencoba menjalankannya:

Klik "Batal" dan kemudian dari System Preferences, buka "Keamanan & Privasi" dan dari tab Umum, klik "Izinkan".

Setelah itu coba jalankan kembali.

./hayabusa

Akan muncul peringatan berikut, jadi silakan klik "Buka".

Anda sekarang seharusnya dapat menjalankan hayabusa.

• computer-metrics : Cetak jumlah kejadian berdasarkan nama komputer.
• eid-metrics : Cetak jumlah dan persentase acara berdasarkan ID Acara.
• logon-summary : Cetak ringkasan acara logon.
• pivot-keywords-list : Cetak daftar kata kunci mencurigakan untuk dijadikan pivot.
• search : Cari semua acara berdasarkan kata kunci atau ekspresi reguler

• csv-timeline : Menyimpan timeline dalam format CSV.
• json-timeline : Simpan timeline dalam format JSON/JSONL.
• level-tuning : Menyesuaikan level peringatan secara khusus.
• list-profiles : Daftar profil keluaran yang tersedia.
• set-default-profile : Mengubah profil default.
• update-rules : Sinkronkan aturan dengan aturan terbaru di repositori GitHub hayabusa-rules.

• help : Cetak pesan ini atau bantuan dari subperintah yang diberikan
• list-contributors : Cetak daftar kontributor

Anda dapat menggunakan perintah computer-metrics untuk memeriksa berapa banyak kejadian yang ada menurut setiap komputer yang ditentukan di bidang <System><Computer> . Sadarilah bahwa Anda tidak dapat sepenuhnya mengandalkan bidang Computer untuk memisahkan peristiwa berdasarkan komputer aslinya. Windows 11 terkadang menggunakan nama Computer yang sangat berbeda saat menyimpan ke log peristiwa. Selain itu, Windows 10 terkadang mencatat nama Computer dalam huruf kecil semua. Perintah ini tidak menggunakan aturan deteksi apa pun sehingga akan menganalisis semua kejadian. Ini adalah perintah yang baik untuk dijalankan guna melihat dengan cepat komputer mana yang memiliki log paling banyak. Dengan informasi ini, Anda kemudian dapat menggunakan opsi --include-computer atau --exclude-computer saat membuat garis waktu untuk membuat pembuatan garis waktu lebih efisien dengan membuat beberapa garis waktu menurut komputer atau mengecualikan peristiwa dari komputer tertentu.

 Usage: computer-metrics <INPUT> [OPTIONS]

Input:
  -d, --directory <DIR>  Directory of multiple .evtx files
  -f, --file <FILE>      File path to one .evtx file
  -l, --live-analysis    Analyze the local C:WindowsSystem32winevtLogs folder

General Options:
  -C, --clobber                        Overwrite files when saving
  -h, --help                           Show the help menu
  -J, --JSON-input                     Scan JSON formatted logs instead of .evtx (.json or .jsonl)
  -Q, --quiet-errors                   Quiet errors mode: do not save error logs
  -x, --recover-records                Carve evtx records from slack space (default: disabled)
  -c, --rules-config <DIR>             Specify custom rule config directory (default: ./rules/config)
      --target-file-ext <FILE-EXT...>  Specify additional evtx file extensions (ex: evtx_data)
  -t, --threads <NUMBER>               Number of threads (default: optimal number for performance)

Filtering:
      --timeline-offset <OFFSET>  Scan recent events based on an offset (ex: 1y, 3M, 30d, 24h, 30m)

Output:
  -o, --output <FILE>  Save the results in CSV format (ex: computer-metrics.csv)

Display Settings:
      --no-color  Disable color output
  -q, --quiet     Quiet mode: do not display the launch banner
  -v, --verbose   Output verbose information

• Cetak metrik nama komputer dari direktori: hayabusa.exe computer-metrics -d ../logs
• Simpan hasil ke file CSV: hayabusa.exe computer-metrics -d ../logs -o computer-metrics.csv

Anda dapat menggunakan perintah eid-metrics untuk mencetak jumlah total dan persentase ID peristiwa (bidang <System><EventID> ) yang dipisahkan berdasarkan saluran. Perintah ini tidak menggunakan aturan deteksi apa pun sehingga akan memindai semua kejadian.

 Usage: eid-metrics <INPUT> [OPTIONS]

Input:
  -d, --directory <DIR>  Directory of multiple .evtx files
  -f, --file <FILE>      File path to one .evtx file
  -l, --live-analysis    Analyze the local C:WindowsSystem32winevtLogs folder

General Options:
  -C, --clobber                        Overwrite files when saving
  -h, --help                           Show the help menu
  -J, --JSON-input                     Scan JSON formatted logs instead of .evtx (.json or .jsonl)
  -Q, --quiet-errors                   Quiet errors mode: do not save error logs
  -x, --recover-records                Carve evtx records from slack space (default: disabled)
  -c, --rules-config <DIR>             Specify custom rule config directory (default: ./rules/config)
      --target-file-ext <FILE-EXT...>  Specify additional evtx file extensions (ex: evtx_data)
  -t, --threads <NUMBER>               Number of threads (default: optimal number for performance)

Filtering:
      --exclude-computer <COMPUTER...>  Do not scan specified computer names (ex: ComputerA) (ex: ComputerA,ComputerB)
      --include-computer <COMPUTER...>  Scan only specified computer names (ex: ComputerA) (ex: ComputerA,ComputerB)
      --timeline-offset <OFFSET>        Scan recent events based on an offset (ex: 1y, 3M, 30d, 24h, 30m)

Output:
  -o, --output <FILE>  Save the Metrics in CSV format (ex: metrics.csv)

Display Settings:
      --no-color  Disable color output
  -q, --quiet     Quiet mode: do not display the launch banner
  -v, --verbose   Output verbose information

Time Format:
      --European-time     Output timestamp in European time format (ex: 22-02-2022 22:00:00.123 +02:00)
      --ISO-8601          Output timestamp in ISO-8601 format (ex: 2022-02-22T10:10:10.1234567Z) (Always UTC)
      --RFC-2822          Output timestamp in RFC 2822 format (ex: Fri, 22 Feb 2022 22:00:00 -0600)
      --RFC-3339          Output timestamp in RFC 3339 format (ex: 2022-02-22 22:00:00.123456-06:00)
      --US-military-time  Output timestamp in US military time format (ex: 02-22-2022 22:00:00.123 -06:00)
      --US-time           Output timestamp in US time format (ex: 02-22-2022 10:00:00.123 PM -06:00)
  -U, --UTC               Output time in UTC format (default: local time)

• Cetak metrik ID Peristiwa dari satu file: hayabusa.exe eid-metrics -f Security.evtx
• Cetak metrik ID Peristiwa dari direktori: hayabusa.exe eid-metrics -d ../logs
• Simpan hasil ke file CSV: hayabusa.exe eid-metrics -f Security.evtx -o eid-metrics.csv

Saluran, ID acara, dan judul acara ditentukan di rules/config/channel_eid_info.txt .

Contoh:

 Channel,EventID,EventTitle
Microsoft-Windows-Sysmon/Operational,1,Process Creation.
Microsoft-Windows-Sysmon/Operational,2,File Creation Timestamp Changed. (Possible Timestomping)
Microsoft-Windows-Sysmon/Operational,3,Network Connection.
Microsoft-Windows-Sysmon/Operational,4,Sysmon Service State Changed.

Anda dapat menggunakan perintah logon-summary untuk menampilkan ringkasan informasi logon (nama pengguna logon dan jumlah logon yang berhasil dan gagal). Anda dapat menampilkan informasi masuk untuk satu file evtx dengan -f atau beberapa file evtx dengan opsi -d .

 Usage: logon-summary <INPUT> [OPTIONS]

Input:
  -d, --directory <DIR>  Directory of multiple .evtx files
  -f, --file <FILE>      File path to one .evtx file
  -l, --live-analysis    Analyze the local C:WindowsSystem32winevtLogs folder

General Options:
  -C, --clobber                        Overwrite files when saving
  -h, --help                           Show the help menu
  -J, --JSON-input                     Scan JSON formatted logs instead of .evtx (.json or .jsonl)
  -Q, --quiet-errors                   Quiet errors mode: do not save error logs
  -x, --recover-records                Carve evtx records from slack space (default: disabled)
  -c, --rules-config <DIR>             Specify custom rule config directory (default: ./rules/config)
      --target-file-ext <FILE-EXT...>  Specify additional evtx file extensions (ex: evtx_data)
  -t, --threads <NUMBER>               Number of threads (default: optimal number for performance)

Filtering:
      --exclude-computer <COMPUTER...>  Do not scan specified computer names (ex: ComputerA) (ex: ComputerA,ComputerB)
      --include-computer <COMPUTER...>  Scan only specified computer names (ex: ComputerA) (ex: ComputerA,ComputerB)
      --timeline-end <DATE>             End time of the event logs to load (ex: "2022-02-22 23:59:59 +09:00")
      --timeline-offset <OFFSET>        Scan recent events based on an offset (ex: 1y, 3M, 30d, 24h, 30m)
      --timeline-start <DATE>           Start time of the event logs to load (ex: "2020-02-22 00:00:00 +09:00")

Output:
  -o, --output <FILENAME-PREFIX>  Save the logon summary to two CSV files (ex: -o logon-summary)

Display Settings:
      --no-color  Disable color output
  -q, --quiet     Quiet mode: do not display the launch banner
  -v, --verbose   Output verbose information

Time Format:
      --European-time     Output timestamp in European time format (ex: 22-02-2022 22:00:00.123 +02:00)
      --ISO-8601          Output timestamp in ISO-8601 format (ex: 2022-02-22T10:10:10.1234567Z) (Always UTC)
      --RFC-2822          Output timestamp in RFC 2822 format (ex: Fri, 22 Feb 2022 22:00:00 -0600)
      --RFC-3339          Output timestamp in RFC 3339 format (ex: 2022-02-22 22:00:00.123456-06:00)
      --US-military-time  Output timestamp in US military time format (ex: 02-22-2022 22:00:00.123 -06:00)
      --US-time           Output timestamp in US time format (ex: 02-22-2022 10:00:00.123 PM -06:00)
  -U, --UTC               Output time in UTC format (default: local time)

• Cetak ringkasan logon: hayabusa.exe logon-summary -f Security.evtx
• Simpan hasil ringkasan masuk: hayabusa.exe logon-summary -d ../logs -o logon-summary.csv

Anda dapat menggunakan perintah pivot-keywords-list untuk membuat daftar kata kunci pivot unik untuk dengan cepat mengidentifikasi pengguna abnormal, nama host, proses, dll... serta menghubungkan peristiwa.

Penting: secara default, hayabusa akan mengembalikan hasil dari semua peristiwa (informasional dan lebih tinggi) jadi kami sangat menyarankan untuk menggabungkan perintah pivot-keywords-list dengan opsi -m, --min-level . Misalnya, mulailah dengan hanya membuat kata kunci dari lansiran critical dengan -m critical lalu lanjutkan dengan -m high , -m medium , dll... Kemungkinan besar akan ada kata kunci umum dalam hasil Anda yang akan cocok dengan banyak kejadian normal, jadi setelah memeriksa hasilnya secara manual dan membuat daftar kata kunci unik dalam satu file, Anda kemudian dapat membuat garis waktu aktivitas mencurigakan yang dipersempit dengan perintah seperti grep -f keywords.txt timeline.csv .

 Usage: pivot-keywords-list <INPUT> [OPTIONS]

Input:
  -d, --directory <DIR>  Directory of multiple .evtx files
  -f, --file <FILE>      File path to one .evtx file
  -l, --live-analysis    Analyze the local C:WindowsSystem32winevtLogs folder

General Options:
  -C, --clobber                        Overwrite files when saving
  -h, --help                           Show the help menu
  -J, --JSON-input                     Scan JSON formatted logs instead of .evtx (.json or .jsonl)
  -w, --no-wizard                      Do not ask questions. Scan for all events and alerts
  -Q, --quiet-errors                   Quiet errors mode: do not save error logs
  -x, --recover-records                Carve evtx records from slack space (default: disabled)
  -c, --rules-config <DIR>             Specify custom rule config directory (default: ./rules/config)
      --target-file-ext <FILE-EXT...>  Specify additional evtx file extensions (ex: evtx_data)
  -t, --threads <NUMBER>               Number of threads (default: optimal number for performance)

Filtering:
  -E, --EID-filter                      Scan only common EIDs for faster speed (./rules/config/target_event_IDs.txt)
  -D, --enable-deprecated-rules         Enable rules with a status of deprecated
  -n, --enable-noisy-rules              Enable rules set to noisy (./rules/config/noisy_rules.txt)
  -u, --enable-unsupported-rules        Enable rules with a status of unsupported
  -e, --exact-level <LEVEL>             Only load rules with a specific level (informational, low, medium, high, critical)
      --exclude-computer <COMPUTER...>  Do not scan specified computer names (ex: ComputerA) (ex: ComputerA,ComputerB)
      --exclude-eid <EID...>            Do not scan specific EIDs for faster speed (ex: 1) (ex: 1,4688)
      --exclude-status <STATUS...>      Do not load rules according to status (ex: experimental) (ex: stable,test)
      --exclude-tag <TAG...>            Do not load rules with specific tags (ex: sysmon)
      --include-computer <COMPUTER...>  Scan only specified computer names (ex: ComputerA) (ex: ComputerA,ComputerB)
      --include-eid <EID...>            Scan only specified EIDs for faster speed (ex: 1) (ex: 1,4688)
      --include-status <STATUS...>      Only load rules with specific status (ex: experimental) (ex: stable,test)
      --include-tag <TAG...>            Only load rules with specific tags (ex: attack.execution,attack.discovery)
  -m, --min-level <LEVEL>               Minimum level for rules to load (default: informational)
      --timeline-end <DATE>             End time of the event logs to load (ex: "2022-02-22 23:59:59 +09:00")
      --timeline-offset <OFFSET>        Scan recent events based on an offset (ex: 1y, 3M, 30d, 24h, 30m)
      --timeline-start <DATE>           Start time of the event logs to load (ex: "2020-02-22 00:00:00 +09:00")

Output:
  -o, --output <FILENAME-PREFIX>  Save pivot words to separate files (ex: PivotKeywords)

Display Settings:
      --no-color  Disable color output
  -q, --quiet     Quiet mode: do not display the launch banner
  -v, --verbose   Output verbose information

• Keluarkan kata kunci pivot ke layar: hayabusa.exe pivot-keywords-list -d ../logs -m critical
• Buat daftar kata kunci pivot dari peringatan penting dan simpan hasilnya. (Hasil akan disimpan ke keywords-Ip Addresses.txt , keywords-Users.txt , dll...):

 hayabusa.exe pivot-keywords-list -d ../logs -m critical -o keywords`

Anda dapat menyesuaikan kata kunci apa yang ingin Anda cari dengan mengedit ./rules/config/pivot_keywords.txt . Halaman ini adalah pengaturan default.

Formatnya adalah KeywordName.FieldName . Misalnya, saat membuat daftar Users , hayabusa akan mencantumkan semua nilai di kolom SubjectUserName , TargetUserName dan User .

Perintah search akan memungkinkan Anda mencari kata kunci di semua acara. (Bukan hanya hasil deteksi Hayabusa saja.) Hal ini berguna untuk mengetahui apakah ada bukti kejadian yang tidak terdeteksi oleh Hayabusa.

 Usage: hayabusa.exe search <INPUT> <--keywords "<KEYWORDS>" OR --regex "<REGEX>"> [OPTIONS]

Display Settings:
      --no-color  Disable color output
  -q, --quiet     Quiet mode: do not display the launch banner
  -v, --verbose   Output verbose information

General Options:
  -C, --clobber                        Overwrite files when saving
  -h, --help                           Show the help menu
  -Q, --quiet-errors                   Quiet errors mode: do not save error logs
  -x, --recover-records                Carve evtx records from slack space (default: disabled)
  -c, --rules-config <DIR>             Specify custom rule config directory (default: ./rules/config)
      --target-file-ext <FILE-EXT...>  Specify additional evtx file extensions (ex: evtx_data)
  -t, --threads <NUMBER>               Number of threads (default: optimal number for performance)

Input:
  -d, --directory <DIR>  Directory of multiple .evtx files
  -f, --file <FILE>      File path to one .evtx file
  -l, --live-analysis    Analyze the local C:WindowsSystem32winevtLogs folder

Filtering:
  -a, --and-logic                 Search keywords with AND logic (default: OR)
  -F, --filter <FILTER...>        Filter by specific field(s)
  -i, --ignore-case               Case-insensitive keyword search
  -k, --keyword <KEYWORD...>      Search by keyword(s)
  -r, --regex <REGEX>             Search by regular expression
      --timeline-offset <OFFSET>  Scan recent events based on an offset (ex: 1y, 3M, 30d, 24h, 30m)

Output:
  -J, --JSON-output    Save the search results in JSON format (ex: -J -o results.json)
  -L, --JSONL-output   Save the search results in JSONL format (ex: -L -o results.jsonl)
  -M, --multiline      Output event field information in multiple rows for CSV output
  -o, --output <FILE>  Save the search results in CSV format (ex: search.csv)

Time Format:
      --European-time     Output timestamp in European time format (ex: 22-02-2022 22:00:00.123 +02:00)
      --ISO-8601          Output timestamp in ISO-8601 format (ex: 2022-02-22T10:10:10.1234567Z) (Always UTC)
      --RFC-2822          Output timestamp in RFC 2822 format (ex: Fri, 22 Feb 2022 22:00:00 -0600)
      --RFC-3339          Output timestamp in RFC 3339 format (ex: 2022-02-22 22:00:00.123456-06:00)
      --US-military-time  Output timestamp in US military time format (ex: 02-22-2022 22:00:00.123 -06:00)
      --US-time           Output timestamp in US time format (ex: 02-22-2022 10:00:00.123 PM -06:00)
  -U, --UTC               Output time in UTC format (default: local time)

• Cari direktori ../hayabusa-sample-evtx untuk kata kunci mimikatz :