ホーム>プログラミング関連>その他のソースコード
ダウンロード
はやぶさ

はやぶさのロゴ

[英語] | [日本語]

はやぶさについて

Hayabusa は、日本のヤマト セキュリティ グループによって作成されたWindows イベント ログ高速フォレンジック タイムライン ジェネレーターおよび脅威ハンティング ツールです。ハヤブサは日本語で「ハヤブサ」を意味し、ハヤブサが世界で最も足が速く、狩猟が得意で、訓練しやすい動物であることから選ばれました。 Rust で書かれており、可能な限り高速にするためにマルチスレッドをサポートしています。シグマルールをハヤブサルール形式に変換するツールを提供しました。シグマ互換のはやぶさ検出ルールは、可能な限り簡単にカスタマイズおよび拡張できるように、YML で記述されています。 Hayabusa は、ライブ分析のために単一の実行システム上で実行することも、オフライン分析のために単一または複数のシステムからログを収集することによって実行することも、企業全体の脅威ハンティングとインシデント対応のために Velociraptor で Hayabusa アーティファクトを実行することによって実行することもできます。出力は単一の CSV タイムラインに統合され、LibreOffice、Timeline Explorer、Elastic Stack、Timesketch などで簡単に分析できるようになります。

コンパニオンプロジェクト

  • EnableWindowsLogSettings - Windows イベント ログを適切に有効にするためのドキュメントとスクリプト。
  • Hayabusa Encoded Rules - Hayabusa Rules リポジトリと同じですが、ルールと構成ファイルは 1 つのファイルに保存され、ウイルス対策による誤検知を防ぐために XOR 演算されます。
  • Hayabusa ルール - Hayabusa と厳選された Sigma 検出ルールは Hayabusa を使用しました。
  • Hayabusa EVTX - evtxクレートのより保守されたフォーク。
  • Hayabusa サンプル EVTX - Hayabusa/sigma 検出ルールのテストに使用するサンプル evtx ファイル。
  • プレゼンテーション - 当社のツールとリソースについて行った講演のプレゼンテーション。
  • Sigma to Hayabusa Converter - アップストリームの Windows イベント ログ ベースの Sigma ルールを使いやすい形式にまとめます。
  • Takajo - はやぶさの結果のアナライザー。
  • WELA (Windows イベント ログ アナライザー) - PowerShell で作成された Windows イベント ログのアナライザー。 (非推奨となり、Takajo に置き換えられました。)

Hayabusa を使用するサードパーティ プロジェクト

  • AllthingsTimesketch - Plaso と Hayabusa の結果を Timesketch にインポートする NodeRED ワークフロー。
  • LimaCharlie - お客様のニーズに合わせたクラウドベースのセキュリティ ツールとインフラストラクチャを提供します。
  • OpenRelik - 共同的なデジタル フォレンジック調査を合理化するために設計されたオープンソース (Apache-2.0) プラットフォーム。
  • Splunk4DFIR - Docker を使用して Splunk インスタンスをすばやく起動し、調査中に出力されたログやツールを参照します。
  • Velociraptor - Velociraptor Query Language (VQL) クエリを使用してホストベースの状態情報を収集するツール。

目次

  • はやぶさについて
  • コンパニオンプロジェクト
  • Hayabusa を使用するサードパーティ プロジェクト
    • 目次
    • 主な目標
      • 脅威ハンティングと企業全体の DFIR
      • 迅速なフォレンジック タイムラインの生成
  • スクリーンショット
    • 起動する
    • DFIR タイムライン ターミナル出力
    • キーワード検索結果
    • 検出頻度タイムライン ( -Tオプション)
    • 結果の概要
    • HTML 結果の概要 ( -Hオプション)
    • LibreOffice での DFIR タイムライン分析 ( -M複数行出力)
    • タイムライン エクスプローラーでの DFIR タイムライン分析
    • タイムライン エクスプローラーでの重大なアラートのフィルタリングとコンピューターのグループ化
    • Elastic Stack ダッシュボードによる分析
    • タイムスケッチでの分析
  • タイムライン結果のインポートと分析
  • JQ を使用した JSON 形式の結果の分析
  • 特徴
  • ダウンロード
    • Windows ライブ応答パッケージ
  • Git クローニング
  • 詳細: ソースからコンパイルする (オプション)
    • Rustパッケージの更新
    • 32 ビット Windows バイナリのクロスコンパイル
    • macOS のコンパイルに関する注意事項
    • Linux のコンパイルに関する注意事項
    • Linux MUSL バイナリのクロスコンパイル
  • 走るはやぶさ
    • 注意: ウイルス対策/EDR の警告と実行時間の遅さ
      • パスにスペースが含まれるファイルまたはディレクトリをスキャンしようとするとエラーが発生する
    • Linux
    • macOS
  • コマンド一覧
    • 分析コマンド:
    • DFIR タイムライン コマンド:
    • 一般的なコマンド:
  • コマンドの使用法
    • 分析コマンド
      • computer-metricsコマンド
        • computer-metricsコマンドの例
        • computer-metricsスクリーンショット
      • eid-metricsコマンド
        • eid-metricsコマンドの例
        • eid-metricsコマンド構成ファイル
        • eid-metricsスクリーンショット
      • logon-summaryコマンド
        • logon-summaryコマンドの例
        • logon-summaryスクリーンショット
      • pivot-keywords-listコマンド
        • pivot-keywords-listコマンドの例
        • pivot-keywords-list設定ファイル
      • searchコマンド
        • searchコマンドの例
        • コマンド設定ファイルのsearch
    • DFIR タイムライン コマンド
      • スキャンウィザード
        • コアルール
        • コア+ルール
        • コア++ルール
        • 新たな脅威 (ET) アドオン ルール
        • 脅威ハンティング (TH) アドオン ルール
      • チャネルベースのイベントログとルールフィルタリング
      • csv-timelineコマンド
        • csv-timelineコマンドの例
        • 詳細 - GeoIP ログの強化
          • GeoIP 構成ファイル
          • GeoIP データベースの自動更新
        • csv-timelineコマンド構成ファイル
      • json-timelineコマンド
        • json-timelineコマンドの例と設定ファイル
      • level-tuningコマンド
        • level-tuningコマンドの例
        • level-tuning設定ファイル
      • list-profilesコマンド
      • set-default-profileコマンド
        • set-default-profileコマンドの例
      • update-rulesコマンド
        • update-rulesコマンドの例
  • タイムライン出力
    • 出力プロファイル
      • 1. minimalプロファイル出力
      • 2. standardプロファイル出力
      • 3. verboseプロファイル出力
      • 4. all-field-infoプロファイルの出力
      • 5. all-field-info-verboseプロファイル出力
      • 6. super-verboseプロファイル出力
      • timesketch-minimalプロファイル出力
      • timesketch-verboseプロファイル出力
      • プロファイルの比較
      • プロファイルフィールドのエイリアス
        • 追加のプロファイルフィールドのエイリアス
    • レベルの略語
    • MITRE ATT&CK 戦術の略語
    • チャンネルの略称
    • その他の略語
    • プログレスバー
    • カラー出力
    • 結果の概要
      • 検出頻度のタイムライン
  • はやぶさのルール
    • シグマ vs はやぶさ (シグマ互換内蔵) ルール
  • その他の Windows イベント ログ アナライザーと関連リソース
  • Windows ログの推奨事項
  • シスモン関連プロジェクト
  • コミュニティのドキュメント
    • 英語
    • 日本語
  • 貢献
  • バグの提出
  • ライセンス
  • ツイッター

主な目標

脅威ハンティングと企業全体の DFIR

Hayabusa には現在 4,000 を超えるシグマ ルールと 170 を超える Hayabusa 組み込み検出ルールがあり、さらにルールが定期的に追加されます。これは、ヴェロキラプトルのハヤブサ アーティファクトを使用して、企業全体のプロアクティブな脅威ハンティングや DFIR (デジタル フォレンジックおよびインシデント対応) に無料で使用できます。これら 2 つのオープンソース ツールを組み合わせることで、環境内に SIEM セットアップが存在しない場合でも、基本的に SIEM を遡及的に再現できます。これを行う方法については、Eric Capuano の Velociraptor ウォークスルーをこちらでご覧ください。

迅速なフォレンジック タイムラインの生成

Windows イベント ログの分析は、従来、非常に長くて退屈なプロセスでした。その理由は、Windows イベント ログは 1) 分析が難しいデータ形式であり、2) データの大部分はノイズであり、調査には役に立ちません。 Hayabusa の目標は、有用なデータのみを抽出し、専門的な訓練を受けたアナリストだけでなく、Windows システム管理者であれば誰でも使用できる、できるだけ簡潔で読みやすい形式で表示することです。 Hayabusa は、従来の Windows イベント ログ分析と比較して、アナリストが作業の 80% を 20% の時間で完了できるようにしたいと考えています。

DFIR タイムライン

スクリーンショット

起動する

はやぶさスタートアップ

DFIR タイムライン ターミナル出力

はやぶさDFIR端子出力

キーワード検索結果

「はやぶさ」の検索結果

検出頻度タイムライン ( -Tオプション)

はやぶさの検出頻度タイムライン

結果の概要

「はやぶさ」の結果まとめ

HTML 結果の概要 ( -Hオプション)

「はやぶさ」の結果まとめ

「はやぶさ」の結果まとめ

「はやぶさ」の結果まとめ

LibreOffice での DFIR タイムライン分析 ( -M複数行出力)

LibreOffice での Hayabusa 分析

タイムライン エクスプローラーでの DFIR タイムライン分析

Timeline Explorer でのはやぶさの分析

タイムライン エクスプローラーでの重大なアラートのフィルタリングとコンピューターのグループ化

タイムライン エクスプローラーでの重大なアラートのフィルタリングとコンピューターのグループ化

Elastic Stack ダッシュボードによる分析

エラスティック スタック ダッシュボード 1

エラスティック スタック ダッシュボード 2

タイムスケッチでの分析

タイムスケッチ

タイムライン結果のインポートと分析

ここでは、Excel とタイムライン エクスプローラーで CSV タイムラインを分析する方法を学習できます。

CSV ファイルを Elastic Stack にインポートする方法については、こちらをご覧ください。

CSV ファイルを Timesketch にインポートする方法については、こちらをご覧ください。

JQ を使用した JSON 形式の結果の分析

ここでは、 jqを使用して JSON 形式の結果を分析する方法を学習できます。

特徴

  • クロスプラットフォームのサポート: Windows、Linux、macOS。
  • メモリ安全かつ高速になるように Rust で開発されています。
  • マルチスレッドのサポートにより、最大 5 倍の速度向上が実現します。
  • フォレンジック調査とインシデント対応のための、分析しやすい単一のタイムラインを作成します。
  • 読み取り/作成/編集が簡単な YML ベースの hayabusa ルールで記述された IoC シグネチャに基づく脅威ハンティング。
  • シグマルールをはやぶさルールに変換するシグマルールのサポート。
  • 現在、他の同様のツールと比較して最も多くのシグマ ルールをサポートしており、カウント ルールや|equalsfield|endswithfieldなどの新しい集計機能もサポートしています。
  • コンピューターのメトリクス。 (大量のイベントがある特定のコンピューターをフィルター処理するのに役立ちます。)
  • イベント ID メトリック。 (どのようなタイプのイベントがあるかを把握し、ログ設定を調整するのに役立ちます。)
  • 不要なルールまたはノイズの多いルールを除外することによるルールのチューニング構成。
  • MITRE ATT&CK 戦術のマッピング。
  • ルールレベルの調整。
  • 固有のピボット キーワードのリストを作成して、異常なユーザー、ホスト名、プロセスなどを迅速に特定し、イベントを関連付けます。
  • より徹底的な調査のためにすべてのフィールドを出力します。
  • 成功したログオンと失敗したログオンの概要。
  • Velociraptor による全社規模の脅威ハンティングとすべてのエンドポイントでの DFIR。
  • CSV、JSON/JSONL、および HTML 概要レポートに出力します。
  • シグマルールは毎日更新されます。
  • JSON 形式のログ入力のサポート。
  • ログフィールドの正規化。 (命名規則が異なる複数のフィールドを同じフィールド名に変換します。)
  • IP アドレスに GeoIP (ASN、都市、国) 情報を追加することによるログの強化。
  • すべてのイベントをキーワードまたは正規表現で検索します。
  • フィールドデータのマッピング。 (例: 0xc0000234 -> ACCOUNT LOCKED )
  • evtx スラックスペースからの evtx レコードカービング。
  • 出力時のイベントの重複排除。 (リカバリ レコードが有効になっている場合、またはバックアップされた evtx ファイル、VSS からの evtx ファイルなどを含める場合に便利です...)
  • スキャン設定ウィザードを使用すると、有効にするルールを簡単に選択できます。 (誤検知を減らすためなど…)
  • PowerShell のクラシック ログ フィールドの解析と抽出。
  • メモリ使用量が少ない。 (注: これは、結果を並べ替えないことで可能になります。エージェントまたはビッグ データでの実行に最適です。)
  • 最も効率的なパフォーマンスを実現するために、チャネルとルールをフィルタリングします。

ダウンロード

コンパイルされたバイナリを含む Hayabusa の最新の安定バージョンをダウンロードするか、リリース ページからソース コードをコンパイルしてください。

次のアーキテクチャのバイナリを提供します。

  • Linux ARM 64 ビット GNU ( hayabusa-xxx-lin-aarch64-gnu )
  • Linux Intel 64 ビット GNU ( hayabusa-xxx-lin-x64-gnu )
  • Linux Intel 64 ビット MUSL ( hayabusa-xxx-lin-x64-musl )
  • macOS ARM 64 ビット ( hayabusa-xxx-mac-aarch64 )
  • macOS Intel 64 ビット ( hayabusa-xxx-mac-x64 )
  • Windows ARM 64 ビット ( hayabusa-xxx-win-aarch64.exe )
  • Windows Intel 64 ビット ( hayabusa-xxx-win-x64.exe )
  • Windows Intel 32 ビット ( hayabusa-xxx-win-x86.exe )

何らかの理由で Linux ARM MUSL バイナリは適切に動作しないため、そのバイナリは提供されていません。これは私たちの管理外ですので、将来的に修正されたら提供する予定です。

Windows ライブ応答パッケージ

v2.18.0 の時点では、単一のファイルで提供される XOR エンコードされたルールと、単一のファイルに結合されたすべての構成ファイル (hayabusa-encoded-rules リポジトリでホストされている) を使用する特別な Windows パッケージが提供されています。名前にlive-responseを含む zip パッケージをダウンロードするだけです。 zip ファイルには、Hayabusa バイナリ、XOR エンコードされたルール ファイル、構成ファイルの 3 つのファイルのみが含まれています。これらのライブ応答パッケージの目的は、クライアント エンドポイントで Hayabusa を実行するときに、Windows Defender などのウイルス対策スキャナーが.ymlルール ファイルで誤検知をしないようにすることです。また、USN Journal などのフォレンジック成果物が上書きされないように、システムに書き込まれるファイルの量を最小限に抑えたいと考えています。

Git クローニング

次のコマンドを使用してリポジトリをgit clone 、ソース コードからバイナリをコンパイルできます。

警告:リポジトリのメイン ブランチは開発目的であるため、まだ正式にリリースされていない新機能にアクセスできる場合がありますが、バグがある可能性があるため、不安定であると考えてください。 

git clone https://github.com/Yamato-Security/hayabusa.git --recursive

注: --recursive オプションの使用を忘れた場合、git サブモジュールとして管理されるrulesフォルダーは複製されません。

rulesフォルダーを同期して、 git pull --recurse-submodulesを使用して最新の Hayabusa ルールを取得するか、次のコマンドを使用できます。 

hayabusa.exe update-rules

更新に失敗した場合は、 rulesフォルダーの名前を変更して再試行する必要がある場合があります。

注意: 更新すると、 rulesフォルダー内のルールと設定ファイルは、hayabusa-rules リポジトリ内の最新のルールと設定ファイルに置き換えられます。既存のファイルに加えた変更は上書きされるため、更新する前に編集したファイルのバックアップを作成することをお勧めします。 level-tuningを使用してレベル チューニングを実行している場合は、更新のたびにルール ファイルを再調整してください。 rulesフォルダー内に新しいルールを追加した場合、更新時にルールが上書きされたり削除されたりすることはありません

詳細: ソースからコンパイルする (オプション)

Rust がインストールされている場合は、次のコマンドを使用してソースからコンパイルできます。

注: コンパイルするには、通常、最新バージョンの Rust が必要です。 

cargo build --release

最新の不安定バージョンはメイン ブランチから、または最新の安定バージョンはリリース ページからダウンロードできます。

Rust を次のもので定期的に更新してください。 

rustup update stable

コンパイルされたバイナリは./target/releaseフォルダーに出力されます。

Rustパッケージの更新

コンパイルする前に、最新の Rust クレートに更新できます。 

cargo update

アップデート後に何か問題が発生した場合はお知らせください。

32 ビット Windows バイナリのクロスコンパイル

次のようにして、64 ビット Windows システム上で 32 ビット バイナリを作成できます。 

rustup install stable-i686-pc-windows-msvc
rustup target add i686-pc-windows-msvc
rustup run stable-i686-pc-windows-msvc cargo build --release

警告: Rust の新しい安定バージョンが存在する場合は必ずrustup install stable-i686-pc-windows-msvcを実行してください。rustup rustup update stableではクロスコンパイル用のコンパイラーが更新されず、ビルドエラーが発生する可能性があります。

macOS のコンパイルに関する注意事項

openssl に関するコンパイル エラーが発生した場合は、Homebrew をインストールしてから、次のパッケージをインストールする必要があります。 

brew install pkg-config
brew install openssl

Linux のコンパイルに関する注意事項

openssl に関するコンパイル エラーが発生した場合は、次のパッケージをインストールする必要があります。

Ubuntu ベースのディストリビューション: 

sudo apt install libssl-dev

Fedora ベースのディストリビューション: 

sudo yum install openssl-devel

Linux MUSL バイナリのクロスコンパイル

Linux OS では、まずターゲットをインストールします。 

rustup install stable-x86_64-unknown-linux-musl
rustup target add x86_64-unknown-linux-musl

以下でコンパイルします。 

cargo build --release --target=x86_64-unknown-linux-musl

警告: Rust の新しい安定バージョンが存在する場合は常にrustup install stable-x86_64-unknown-linux-muslを実行してくださいrustup update stableではクロスコンパイル用のコンパイラが更新されず、ビルドエラーが発生する可能性があります。

MUSL バイナリは./target/x86_64-unknown-linux-musl/release/ディレクトリに作成されます。 MUSL バイナリは GNU バイナリよりも約 15% 遅いですが、Linux のさまざまなバージョンやディストリビューション間での移植性が高くなります。

走るはやぶさ

注意: ウイルス対策/EDR の警告と実行時間の遅さ

hayabusa を実行しようとしたとき、または検出シグネチャにmimikatzや疑わしい PowerShell コマンドなどのキーワードが含まれるため、 .ymlルールをダウンロードしたときでも、ウイルス対策製品や EDR 製品からアラートを受け取ることがあります。これらは誤検知であるため、hayabusa の実行を許可するにはセキュリティ製品で除外を構成する必要があります。マルウェアやサプライチェーン攻撃が心配な場合は、hayabusa のソースコードを確認し、バイナリをご自身でコンパイルしてください。

Windows Defender のリアルタイム保護により、特に再起動後の最初の実行時に実行時間が遅くなることがあります。これを回避するには、リアルタイム保護を一時的にオフにするか、hayabusa ランタイム ディレクトリに除外を追加します。 (これらを実行する前に、セキュリティ上のリスクを考慮してください。)

コマンド/PowerShell プロンプトまたは Windows ターミナルで、適切な 32 ビットまたは 64 ビット Windows バイナリを実行するだけです。

パスにスペースが含まれるファイルまたはディレクトリをスキャンしようとするとエラーが発生する

Windows で組み込みのコマンドまたは PowerShell プロンプトを使用する場合、ファイルまたはディレクトリ パスにスペースがあると、Hayabusa が .evtx ファイルをロードできなかったというエラーが表示されることがあります。 .evtx ファイルを適切にロードするには、必ず次の手順を実行してください。

  1. ファイルまたはディレクトリのパスは二重引用符で囲みます。
  2. ディレクトリ パスの場合は、最後の文字にバックスラッシュを含めないように注意してください。

Linux

まずバイナリを実行可能ファイルにする必要があります。 

chmod +x ./hayabusa

次に、Hayabusa ルート ディレクトリから実行します。 

./hayabusa

macOS

ターミナルまたは iTerm2 から、まずバイナリを実行可能ファイルにする必要があります。 

chmod +x ./hayabusa

次に、Hayabusa ルート ディレクトリから実行してみます。 

./hayabusa

最新バージョンの macOS を実行しようとすると、次のセキュリティ エラーが発生する場合があります。

Mac エラー 1 JP

「キャンセル」をクリックし、システム環境設定から「セキュリティとプライバシー」を開き、「全般」タブから「許可」をクリックします。

Mac エラー 2 JP

その後、再度実行してみてください。 

./hayabusa

以下の警告が表示されますので、「開く」をクリックしてください。

Mac エラー 3 JP

これで、hayabusa を実行できるようになります。

コマンド一覧

分析コマンド:

  • computer-metrics : コンピューター名に基づいてイベントの数を出力します。
  • eid-metrics : イベント ID に基づいてイベントの数と割合を出力します。
  • logon-summary : ログオン イベントの概要を出力します。
  • pivot-keywords-list : ピボットする疑わしいキーワードのリストを出力します。
  • search : キーワードまたは正規表現ですべてのイベントを検索します

DFIR タイムライン コマンド:

  • csv-timeline : タイムラインをCSV形式で保存します。
  • json-timeline : タイムラインを JSON/JSONL 形式で保存します。
  • level-tuning : アラートのlevelをカスタム調整します。
  • list-profiles : 利用可能な出力プロファイルをリストします。
  • set-default-profile : デフォルトのプロファイルを変更します。
  • update-rules : ルールを hayabusa-rules GitHub リポジトリの最新ルールに同期します。

一般的なコマンド:

  • help : このメッセージまたは指定されたサブコマンドのヘルプを出力します。
  • list-contributors : 貢献者のリストを出力します。

コマンドの使用法

分析コマンド

computer-metricsコマンド

computer-metricsコマンドを使用すると、 フィールドで定義された各コンピューターに応じて存在するイベントの数を確認できます。元のコンピュータによってイベントを分離する場合、 Computerフィールドに完全に依存することはできないことに注意してください。 Windows 11 では、イベント ログに保存するときにまったく異なるComputer名が使用されることがあります。また、Windows 10 ではComputer名がすべて小文字で記録されることがあります。このコマンドは検出ルールを使用しないため、すべてのイベントを分析します。これは、どのコンピュータに最も多くのログがあるかをすぐに確認するために実行するのに適したコマンドです。この情報を使用すると、タイムラインの作成時に--include-computerまたは--exclude-computerオプションを使用して、コンピュータに応じて複数のタイムラインを作成したり、特定のコンピュータからイベントを除外したりすることで、タイムラインの生成をより効率的に行うことができます。 

 Usage: computer-metrics  [OPTIONS]

Input:
  -d, --directory   Directory of multiple .evtx files
  -f, --file       File path to one .evtx file
  -l, --live-analysis    Analyze the local C:WindowsSystem32winevtLogs folder

General Options:
  -C, --clobber                        Overwrite files when saving
  -h, --help                           Show the help menu
  -J, --JSON-input                     Scan JSON formatted logs instead of .evtx (.json or .jsonl)
  -Q, --quiet-errors                   Quiet errors mode: do not save error logs
  -x, --recover-records                Carve evtx records from slack space (default: disabled)
  -c, --rules-config              Specify custom rule config directory (default: ./rules/config)
      --target-file-ext   Specify additional evtx file extensions (ex: evtx_data)
  -t, --threads                Number of threads (default: optimal number for performance)

Filtering:
      --timeline-offset   Scan recent events based on an offset (ex: 1y, 3M, 30d, 24h, 30m)

Output:
  -o, --output   Save the results in CSV format (ex: computer-metrics.csv)

Display Settings:
      --no-color  Disable color output
  -q, --quiet     Quiet mode: do not display the launch banner
  -v, --verbose   Output verbose information

computer-metricsコマンドの例

  • ディレクトリからコンピューター名メトリックを出力します: hayabusa.exe computer-metrics -d ../logs
  • 結果を CSV ファイルに保存します: hayabusa.exe computer-metrics -d ../logs -o computer-metrics.csv

computer-metricsスクリーンショット

コンピューターメトリクスのスクリーンショット

eid-metricsコマンド

eid-metricsコマンドを使用すると、チャネルごとに区切られたイベント ID ( フィールド) の合計数と割合を出力できます。このコマンドは検出ルールを使用しないため、すべてのイベントをスキャンします。 

 Usage: eid-metrics  [OPTIONS]

Input:
  -d, --directory   Directory of multiple .evtx files
  -f, --file       File path to one .evtx file
  -l, --live-analysis    Analyze the local C:WindowsSystem32winevtLogs folder

General Options:
  -C, --clobber                        Overwrite files when saving
  -h, --help                           Show the help menu
  -J, --JSON-input                     Scan JSON formatted logs instead of .evtx (.json or .jsonl)
  -Q, --quiet-errors                   Quiet errors mode: do not save error logs
  -x, --recover-records                Carve evtx records from slack space (default: disabled)
  -c, --rules-config              Specify custom rule config directory (default: ./rules/config)
      --target-file-ext   Specify additional evtx file extensions (ex: evtx_data)
  -t, --threads                Number of threads (default: optimal number for performance)

Filtering:
      --exclude-computer   Do not scan specified computer names (ex: ComputerA) (ex: ComputerA,ComputerB)
      --include-computer   Scan only specified computer names (ex: ComputerA) (ex: ComputerA,ComputerB)
      --timeline-offset         Scan recent events based on an offset (ex: 1y, 3M, 30d, 24h, 30m)

Output:
  -o, --output   Save the Metrics in CSV format (ex: metrics.csv)

Display Settings:
      --no-color  Disable color output
  -q, --quiet     Quiet mode: do not display the launch banner
  -v, --verbose   Output verbose information

Time Format:
      --European-time     Output timestamp in European time format (ex: 22-02-2022 22:00:00.123 +02:00)
      --ISO-8601          Output timestamp in ISO-8601 format (ex: 2022-02-22T10:10:10.1234567Z) (Always UTC)
      --RFC-2822          Output timestamp in RFC 2822 format (ex: Fri, 22 Feb 2022 22:00:00 -0600)
      --RFC-3339          Output timestamp in RFC 3339 format (ex: 2022-02-22 22:00:00.123456-06:00)
      --US-military-time  Output timestamp in US military time format (ex: 02-22-2022 22:00:00.123 -06:00)
      --US-time           Output timestamp in US time format (ex: 02-22-2022 10:00:00.123 PM -06:00)
  -U, --UTC               Output time in UTC format (default: local time)

eid-metricsコマンドの例

  • 単一ファイルからイベント ID メトリックを出力: hayabusa.exe eid-metrics -f Security.evtx
  • ディレクトリからイベント ID メトリックを出力します: hayabusa.exe eid-metrics -d ../logs
  • 結果を CSV ファイルに保存します: hayabusa.exe eid-metrics -f Security.evtx -o eid-metrics.csv

eid-metricsコマンド構成ファイル

イベントのチャネル、イベント ID、およびタイトルはrules/config/channel_eid_info.txtで定義されます。

例: 

 Channel,EventID,EventTitle
Microsoft-Windows-Sysmon/Operational,1,Process Creation.
Microsoft-Windows-Sysmon/Operational,2,File Creation Timestamp Changed. (Possible Timestomping)
Microsoft-Windows-Sysmon/Operational,3,Network Connection.
Microsoft-Windows-Sysmon/Operational,4,Sysmon Service State Changed.

eid-metricsスクリーンショット

eid メトリクスのスクリーンショット

logon-summaryコマンド

logon-summaryコマンドを使用すると、ログオン情報の概要 (ログオン ユーザー名、ログオンの成功数と失敗数) を出力できます。 -f使用すると 1 つの evtx ファイルのログオン情報を表示でき、 -dオプションを使用すると複数の evtx ファイルのログオン情報を表示できます。

Scan recent events based on an offset (ex: 1y, 3M, 30d, 24h, 30m) --timeline-start Start time of the event logs to load (ex: "2020-02-22 00:00:00 +09:00") Output: -o, --output Save the logon summary to two CSV files (ex: -o logon-summary) Display Settings: --no-color Disable color output -q, --quiet Quiet mode: do not display the launch banner -v, --verbose Output verbose information Time Format: --European-time Output timestamp in European time format (ex: 22-02-2022 22:00:00.123 +02:00) --ISO-8601 Output timestamp in ISO-8601 format (ex: 2022-02-22T10:10:10.1234567Z) (Always UTC) --RFC-2822 Output timestamp in RFC 2822 format (ex: Fri, 22 Feb 2022 22:00:00 -0600) --RFC-3339 Output timestamp in RFC 3339 format (ex: 2022-02-22 22:00:00.123456-06:00) --US-military-time Output timestamp in US military time format (ex: 02-22-2022 22:00:00.123 -06:00) --US-time Output timestamp in US time format (ex: 02-22-2022 10:00:00.123 PM -06:00) -U, --UTC Output time in UTC format (default: local time)">
 Usage: logon-summary  [OPTIONS]

Input:
  -d, --directory   Directory of multiple .evtx files
  -f, --file       File path to one .evtx file
  -l, --live-analysis    Analyze the local C:WindowsSystem32winevtLogs folder

General Options:
  -C, --clobber                        Overwrite files when saving
  -h, --help                           Show the help menu
  -J, --JSON-input                     Scan JSON formatted logs instead of .evtx (.json or .jsonl)
  -Q, --quiet-errors                   Quiet errors mode: do not save error logs
  -x, --recover-records                Carve evtx records from slack space (default: disabled)
  -c, --rules-config              Specify custom rule config directory (default: ./rules/config)
      --target-file-ext   Specify additional evtx file extensions (ex: evtx_data)
  -t, --threads                Number of threads (default: optimal number for performance)

Filtering:
      --exclude-computer   Do not scan specified computer names (ex: ComputerA) (ex: ComputerA,ComputerB)
      --include-computer   Scan only specified computer names (ex: ComputerA) (ex: ComputerA,ComputerB)
      --timeline-end              End time of the event logs to load (ex: "2022-02-22 23:59:59 +09:00")
      --timeline-offset         Scan recent events based on an offset (ex: 1y, 3M, 30d, 24h, 30m)
      --timeline-start            Start time of the event logs to load (ex: "2020-02-22 00:00:00 +09:00")

Output:
  -o, --output   Save the logon summary to two CSV files (ex: -o logon-summary)

Display Settings:
      --no-color  Disable color output
  -q, --quiet     Quiet mode: do not display the launch banner
  -v, --verbose   Output verbose information

Time Format:
      --European-time     Output timestamp in European time format (ex: 22-02-2022 22:00:00.123 +02:00)
      --ISO-8601          Output timestamp in ISO-8601 format (ex: 2022-02-22T10:10:10.1234567Z) (Always UTC)
      --RFC-2822          Output timestamp in RFC 2822 format (ex: Fri, 22 Feb 2022 22:00:00 -0600)
      --RFC-3339          Output timestamp in RFC 3339 format (ex: 2022-02-22 22:00:00.123456-06:00)
      --US-military-time  Output timestamp in US military time format (ex: 02-22-2022 22:00:00.123 -06:00)
      --US-time           Output timestamp in US time format (ex: 02-22-2022 10:00:00.123 PM -06:00)
  -U, --UTC               Output time in UTC format (default: local time)

logon-summaryコマンドの例

  • ログオン概要の印刷: hayabusa.exe logon-summary -f Security.evtx
  • ログオン概要の結果を保存します: hayabusa.exe logon-summary -d ../logs -o logon-summary.csv

logon-summaryスクリーンショット

ログオンの概要 成功したログオンのスクリーンショット

ログオンの概要失敗したログオンのスクリーンショット

pivot-keywords-listコマンド

pivot-keywords-listコマンドを使用すると、一意のピボット キーワードのリストを作成し、異常なユーザー、ホスト名、プロセスなどを迅速に特定したり、イベントを関連付けたりできます。

重要: デフォルトでは、hayabusa はすべてのイベント (情報イベントおよびそれ以上のイベント) からの結果を返すため、 pivot-keywords-listコマンドと-m, --min-levelオプションを組み合わせることを強くお勧めします。たとえば、 -m criticalを使用してcriticalアラートからキーワードのみを作成することから始めて、次に-m high-m mediumなどと続けます...結果には、多くの通常のイベントに一致する共通のキーワードが含まれる可能性が高くなります。したがって、結果を手動で確認し、単一のファイル内に一意のキーワードのリストを作成した後、 grep -f keywords.txt timeline.csvのようなコマンドを使用して、不審なアクティビティの絞り込んだタイムラインを作成できます。

Scan recent events based on an offset (ex: 1y, 3M, 30d, 24h, 30m) --timeline-start Start time of the event logs to load (ex: "2020-02-22 00:00:00 +09:00") Output: -o, --output Save pivot words to separate files (ex: PivotKeywords) Display Settings: --no-color Disable color output -q, --quiet Quiet mode: do not display the launch banner -v, --verbose Output verbose information">
 Usage: pivot-keywords-list  [OPTIONS]

Input:
  -d, --directory   Directory of multiple .evtx files
  -f, --file       File path to one .evtx file
  -l, --live-analysis    Analyze the local C:WindowsSystem32winevtLogs folder

General Options:
  -C, --clobber                        Overwrite files when saving
  -h, --help                           Show the help menu
  -J, --JSON-input                     Scan JSON formatted logs instead of .evtx (.json or .jsonl)
  -w, --no-wizard                      Do not ask questions. Scan for all events and alerts
  -Q, --quiet-errors                   Quiet errors mode: do not save error logs
  -x, --recover-records                Carve evtx records from slack space (default: disabled)
  -c, --rules-config              Specify custom rule config directory (default: ./rules/config)
      --target-file-ext   Specify additional evtx file extensions (ex: evtx_data)
  -t, --threads                Number of threads (default: optimal number for performance)

Filtering:
  -E, --EID-filter                      Scan only common EIDs for faster speed (./rules/config/target_event_IDs.txt)
  -D, --enable-deprecated-rules         Enable rules with a status of deprecated
  -n, --enable-noisy-rules              Enable rules set to noisy (./rules/config/noisy_rules.txt)
  -u, --enable-unsupported-rules        Enable rules with a status of unsupported
  -e, --exact-level              Only load rules with a specific level (informational, low, medium, high, critical)
      --exclude-computer   Do not scan specified computer names (ex: ComputerA) (ex: ComputerA,ComputerB)
      --exclude-eid             Do not scan specific EIDs for faster speed (ex: 1) (ex: 1,4688)
      --exclude-status       Do not load rules according to status (ex: experimental) (ex: stable,test)
      --exclude-tag             Do not load rules with specific tags (ex: sysmon)
      --include-computer   Scan only specified computer names (ex: ComputerA) (ex: ComputerA,ComputerB)
      --include-eid             Scan only specified EIDs for faster speed (ex: 1) (ex: 1,4688)
      --include-status       Only load rules with specific status (ex: experimental) (ex: stable,test)
      --include-tag             Only load rules with specific tags (ex: attack.execution,attack.discovery)
  -m, --min-level                Minimum level for rules to load (default: informational)
      --timeline-end              End time of the event logs to load (ex: "2022-02-22 23:59:59 +09:00")
      --timeline-offset         Scan recent events based on an offset (ex: 1y, 3M, 30d, 24h, 30m)
      --timeline-start            Start time of the event logs to load (ex: "2020-02-22 00:00:00 +09:00")

Output:
  -o, --output   Save pivot words to separate files (ex: PivotKeywords)

Display Settings:
      --no-color  Disable color output
  -q, --quiet     Quiet mode: do not display the launch banner
  -v, --verbose   Output verbose information

pivot-keywords-listコマンドの例

  • ピボットキーワードを画面に出力します: hayabusa.exe pivot-keywords-list -d ../logs -m critical
  • 重要なアラートからピボット キーワードのリストを作成し、結果を保存します。 (結果はkeywords-Ip Addresses.txtkeywords-Users.txtなどに保存されます): 
 hayabusa.exe pivot-keywords-list -d ../logs -m critical -o keywords`

pivot-keywords-list設定ファイル

./rules/config/pivot_keywords.txtを編集して、検索するキーワードをカスタマイズできます。このページはデフォルト設定です。

形式はKeywordName.FieldNameです。たとえば、 Usersのリストを作成するとき、 hayabusa はSubjectUserNameTargetUserName 、およびUserフィールドのすべての値をリストします。

searchコマンド

searchコマンドを使用すると、すべてのイベントをキーワード検索できます。 (はやぶさの検出結果だけではありません。)これは、はやぶさによって検出されなかった事象に何らかの証拠があるかどうかを判断するのに役立ちます。

" OR --regex ""> [OPTIONS] Display Settings: --no-color Disable color output -q, --quiet Quiet mode: do not display the launch banner -v, --verbose Output verbose information General Options: -C, --clobber Overwrite files when saving -h, --help Show the help menu -Q, --quiet-errors Quiet errors mode: do not save error logs -x, --recover-records Carve evtx records from slack space (default: disabled) -c, --rules-config Specify custom rule config directory (default: ./rules/config) --target-file-ext Specify additional evtx file extensions (ex: evtx_data) -t, --threads Number of threads (default: optimal number for performance) Input: -d, --directory Directory of multiple .evtx files -f, --file File path to one .evtx file -l, --live-analysis Analyze the local C:WindowsSystem32winevtLogs folder Filtering: -a, --and-logic Search keywords with AND logic (default: OR) -F, --filter Filter by specific field(s) -i, --ignore-case Case-insensitive keyword search -k, --keyword Search by keyword(s) -r, --regex Search by regular expression --timeline-offset Scan recent events based on an offset (ex: 1y, 3M, 30d, 24h, 30m) Output: -J, --JSON-output Save the search results in JSON format (ex: -J -o results.json) -L, --JSONL-output Save the search results in JSONL format (ex: -L -o results.jsonl) -M, --multiline Output event field information in multiple rows for CSV output -o, --output Save the search results in CSV format (ex: search.csv) Time Format: --European-time Output timestamp in European time format (ex: 22-02-2022 22:00:00.123 +02:00) --ISO-8601 Output timestamp in ISO-8601 format (ex: 2022-02-22T10:10:10.1234567Z) (Always UTC) --RFC-2822 Output timestamp in RFC 2822 format (ex: Fri, 22 Feb 2022 22:00:00 -0600) --RFC-3339 Output timestamp in RFC 3339 format (ex: 2022-02-22 22:00:00.123456-06:00) --US-military-time Output timestamp in US military time format (ex: 02-22-2022 22:00:00.123 -06:00) --US-time Output timestamp in US time format (ex: 02-22-2022 10:00:00.123 PM -06:00) -U, --UTC Output time in UTC format (default: local time)">
 Usage: hayabusa.exe search  <--keywords "" OR --regex ""> [OPTIONS]

Display Settings:
      --no-color  Disable color output
  -q, --quiet     Quiet mode: do not display the launch banner
  -v, --verbose   Output verbose information

General Options:
  -C, --clobber                        Overwrite files when saving
  -h, --help                           Show the help menu
  -Q, --quiet-errors                   Quiet errors mode: do not save error logs
  -x, --recover-records                Carve evtx records from slack space (default: disabled)
  -c, --rules-config              Specify custom rule config directory (default: ./rules/config)
      --target-file-ext   Specify additional evtx file extensions (ex: evtx_data)
  -t, --threads                Number of threads (default: optimal number for performance)

Input:
  -d, --directory   Directory of multiple .evtx files
  -f, --file       File path to one .evtx file
  -l, --live-analysis    Analyze the local C:WindowsSystem32winevtLogs folder

Filtering:
  -a, --and-logic                 Search keywords with AND logic (default: OR)
  -F, --filter         Filter by specific field(s)
  -i, --ignore-case               Case-insensitive keyword search
  -k, --keyword       Search by keyword(s)
  -r, --regex              Search by regular expression
      --timeline-offset   Scan recent events based on an offset (ex: 1y, 3M, 30d, 24h, 30m)

Output:
  -J, --JSON-output    Save the search results in JSON format (ex: -J -o results.json)
  -L, --JSONL-output   Save the search results in JSONL format (ex: -L -o results.jsonl)
  -M, --multiline      Output event field information in multiple rows for CSV output
  -o, --output   Save the search results in CSV format (ex: search.csv)

Time Format:
      --European-time     Output timestamp in European time format (ex: 22-02-2022 22:00:00.123 +02:00)
      --ISO-8601          Output timestamp in ISO-8601 format (ex: 2022-02-22T10:10:10.1234567Z) (Always UTC)
      --RFC-2822          Output timestamp in RFC 2822 format (ex: Fri, 22 Feb 2022 22:00:00 -0600)
      --RFC-3339          Output timestamp in RFC 3339 format (ex: 2022-02-22 22:00:00.123456-06:00)
      --US-military-time  Output timestamp in US military time format (ex: 02-22-2022 22:00:00.123 -06:00)
      --US-time           Output timestamp in US time format (ex: 02-22-2022 10:00:00.123 PM -06:00)
  -U, --UTC               Output time in UTC format (default: local time)

searchコマンドの例

  • ../hayabusa-sample-evtxディレクトリでキーワードmimikatzを検索します。 
 hayabusa.exe search -d ../hayabusa-sample-evtx -k "mimikatz"

注: データ内のどこかにmimikatzが見つかった場合、キーワードは一致します。完全に一致するわけではありません。

  • ../hayabusa-sample-evtxディレクトリでキーワードmimikatzまたはkaliを検索します。 
 hayabusa.exe search -d ../hayabusa-sample-evtx -k "mimikatz" -k "kali"
  • ../hayabusa-sample-evtxディレクトリでキーワードmimikatzを検索し、大文字と小文字は無視します。 
 hayabusa.exe search -d ../hayabusa-sample-evtx -k "mimikatz" -i
  • 正規表現を使用して、 ../hayabusa-sample-evtx sample-evtx ディレクトリで IP アドレスを検索します。 
 hayabusa.exe search -d ../hayabusa-sample-evtx -r "(?:[0-9]{1,3}.){3}[0-9]{1,3}"
  • ../hayabusa-sample-evtxディレクトリを検索し、 WorkstationNameフィールドがkaliであるすべてのイベントを表示します。 
 hayabusa.exe search -d ../hayabusa-sample-evtx -r ".*" -F WorkstationName:"kali"

注: .* 、すべてのイベントで一致する正規表現です。

コマンド設定ファイルのsearch

./rules/config/channel_abbreviations.txt : チャンネル名とその略語のマッピング。

DFIR タイムライン コマンド

スキャンウィザード

csv-timelineおよびjson-timelineコマンドでは、スキャン ウィザードがデフォルトで有効になりました。これは、ユーザーがニーズや好みに応じて有効にする検出ルールを簡単に選択できるようにすることを目的としています。ロードする検出ルールのセットは、Sigma プロジェクトの公式リストに基づいています。詳細はこのブログ投稿で説明されています。 -w, --no-wizardオプションを追加すると、ウィザードを簡単にオフにして従来の方法で Hayabusa を使用できます。

コアルール

coreルール セットは、 testまたはstable 、レベルがhighまたはcriticalのルールを有効にします。これらは信頼性と関連性が高い高品質のルールであり、多くの誤検知は発生しないはずです。ルールのステータスはtestまたはstable 。これは、6 か月以上誤検知が報告されていないことを意味します。ルールは、攻撃者のテクニック、一般的な不審なアクティビティ、または悪意のある動作に一致します。これは--exclude-status deprecated,unsupported,experimental --min-level highオプションを使用するのと同じです。

コア+ルール

core+ルール セットでは、ステータスがtestまたはstable 、レベルがmedium以上のルールが有効になります。 mediumルールでは、特定のアプリケーション、正当なユーザーの動作、または組織のスクリプトが一致する可能性があるため、ほとんどの場合、追加の調整が必要です。これは--exclude-status deprecated,unsupported,experimental --min-level mediumオプションを使用するのと同じです。

コア++ルール

core++ルール セットは、 experimentaltest 、またはstableステータスとmedium以上のレベルを持つルールを有効にします。これらのルールは最先端のものです。これらは、SigmaHQ プロジェクトで入手可能なベースライン evtx ファイルに対して検証され、複数の検出エンジニアによってレビューされます。それ以外は、最初はほとんどテストされていません。誤検知のより高いしきい値を管理することを犠牲にして、脅威をできるだけ早く検出できるようにしたい場合は、これらを使用します。これは--exclude-status deprecated,unsupported --min-level mediumオプションを使用するのと同じです。

新たな脅威 (ET) アドオン ルール

Emerging Threats (ET)ルール セットは、 detection.emerging_threatsのタグを持つルールを有効にします。これらのルールは特定の脅威をターゲットにしており、まだあまり情報が入手できない現在の脅威に対して特に役立ちます。これらのルールには多くの誤検知があってはなりませんが、時間の経過とともに関連性は低下します。これらのルールが有効になっていない場合は、 --exclude-tag detection.emerging_threatsオプションを使用するのと同じです。従来通りウィザードを使用せずに Hayabusa を実行する場合、これらのルールはデフォルトで含まれます。

脅威ハンティング (TH) アドオン ルール

Threat Hunting (TH)ルール セットは、 detection.threat_huntingのタグを持つルールを有効にします。これらのルールは未知の悪意のあるアクティビティを検出する可能性がありますが、通常は誤検知が多くなります。これらのルールが有効になっていない場合、 --exclude-tag detection.threat_huntingオプションを使用するのと同じです。従来通りウィザードを使用せずに Hayabusa を実行する場合、これらのルールはデフォルトで含まれます。

チャネルベースのイベントログとルールフィルタリング

Hayabusa v2.16.0 では、 .evtxファイルと.ymlルールをロードするときにチャネルベースのフィルターが有効になります。目的は、必要なものだけをロードすることで、スキャンをできるだけ効率的に行うことです。 1 つのイベント ログに複数のプロバイダーが存在する可能性はありますが、1 つの evtx ファイル内に複数のチャネルが存在することは一般的ではありません。 (これを確認したのは、誰かがサンプル evtx プロジェクト用に 2 つの異なる evtx ファイルを人為的にマージしたときだけです。) まず、指定されたすべての.evtxファイルの最初のレコードにあるChannelフィールドをチェックすることで、これを有利に利用できます。スキャンされる。また、どの.ymlルールが、ルールのChannelフィールドで指定されたどのチャネルを使用するかを確認します。これら 2 つのリストでは、 .evtxファイル内に実際に存在するチャネルを使用するルールのみをロードします。

したがって、たとえば、ユーザーがSecurity.evtxスキャンしたい場合、 Channel: Securityを指定するルールのみが使用されます。 Applicationログ内のイベントのみを検索するルールなど、他の検出ルールをロードしても意味がありません。チャネル フィールド (例: Channel: Security ) は、元の Sigma ルール内で明示的に定義されていないことに注意してください。シグマ ルールの場合、チャネル ID フィールドとイベント ID フィールドは、 logsourceの下のservicecategoryフィールドを使用して暗黙的に定義されます。 (例: service: security ) hayabusa-rules リポジトリで Sigma ルールをキュレートするとき、 logsourceフィールドを抽象化解除し、チャネルとイベント ID フィールドを明示的に定義します。ここでは、これを行う方法と理由について詳しく説明します。

現在、 Channel定義されておらず、すべての.evtxファイルをスキャンすることを目的とした検出ルールは次の 2 つだけです。

  • 隠されたシェルコードの可能性
  • ミミカッツの使用法

これら 2 つのルールを使用し、ロードされた.evtxファイルに対してすべてのルールをスキャンする場合は、 csv-timelineおよびjson-timelineコマンドに-A, --enable-all-rulesオプションを追加する必要があります。私たちのベンチマークでは、ルール フィルタリングにより、スキャンされるファイルに応じて通常 20% ~ 10 倍の速度向上が得られ、もちろんメモリ使用量も少なくなります。

チャネル フィルタリングは、 .evtxファイルをロードするときにも使用されます。たとえば、 Securityのチャネルを持つイベントを検索するルールを指定した場合、 Securityログからではない.evtxファイルをロードしても意味がありません。私たちのベンチマークでは、通常のスキャンでは約 10% の速度向上が得られ、単一ルールでのスキャンでは最大 60% 以上のパフォーマンスの向上が得られます。単一の.evtxファイル内で複数のチャネルが使用されていることが確実な場合 (たとえば、誰かが複数の.evtxファイルをマージするツールを使用した場合など)、 -a, --scan-all-evtx-filesを使用してこのフィルタリングを無効にします。 csv-timelineおよびjson-timelineコマンドのオプション。

注: チャネル フィルタリングは.evtxファイルでのみ機能し、 -J, --json-inputを使用して JSON ファイルからイベント ログをロードし、 -A​​ または-aも指定すると、エラーが発生します。

csv-timelineコマンド

csv-timelineコマンドは、CSV 形式でイベントのフォレンジック タイムラインを作成します。

Scan recent events based on an offset (ex: 1y, 3M, 30d, 24h, 30m) --timeline-start Start time of the event logs to load (ex: "2020-02-22 00:00:00 +09:00") Output: -G, --GeoIP Add GeoIP (ASN, city, country) info to IP addresses -H, --HTML-report Save Results Summary details to an HTML report (ex: results.html) -M, --multiline Output event field information in multiple rows -F, --no-field-data-mapping Disable field data mapping --no-pwsh-field-extraction Disable field extraction of PowerShell classic logs -o, --output Save the timeline in CSV format (ex: results.csv) -p, --profile Specify output profile -R, --remove-duplicate-data Duplicate field data will be replaced with "DUP" -X, --remove-duplicate-detections Remove duplicate detections (default: disabled) Display Settings: --no-color Disable color output -N, --no-summary Do not display Results Summary for faster speed -q, --quiet Quiet mode: do not display the launch banner -v, --verbose Output verbose information -T, --visualize-timeline Output event frequency timeline (terminal needs to support unicode) Time Format: --European-time Output timestamp in European time format (ex: 22-02-2022 22:00:00.123 +02:00) --ISO-8601 Output timestamp in ISO-8601 format (ex: 2022-02-22T10:10:10.1234567Z) (Always UTC) --RFC-2822 Output timestamp in RFC 2822 format (ex: Fri, 22 Feb 2022 22:00:00 -0600) --RFC-3339 Output timestamp in RFC 3339 format (ex: 2022-02-22 22:00:00.123456-06:00) --US-military-time Output timestamp in US military time format (ex: 02-22-2022 22:00:00.123 -06:00) --US-time Output timestamp in US time format (ex: 02-22-2022 10:00:00.123 PM -06:00) -U, --UTC Output time in UTC format (default: local time)">
 Usage: csv-timeline  [OPTIONS]

Input:
  -d, --directory   Directory of multiple .evtx files
  -f, --file       File path to one .evtx file
  -l, --live-analysis    Analyze the local C:WindowsSystem32winevtLogs folder

General Options:
  -C, --clobber                        Overwrite files when saving
  -h, --help                           Show the help menu
  -J, --JSON-input                     Scan JSON formatted logs instead of .evtx (.json or .jsonl)
  -s, --sort-events                    Sort events before saving the file. (warning: this uses much more memory!)
  -w, --no-wizard                      Do not ask questions. Scan for all events and alerts
  -Q, --quiet-errors                   Quiet errors mode: do not save error logs
  -x, --recover-records                Carve evtx records from slack space (default: disabled)
  -r, --rules                Specify a custom rule directory or file (default: ./rules)
  -c, --rules-config              Specify custom rule config directory (default: ./rules/config)
      --target-file-ext   Specify additional evtx file extensions (ex: evtx_data)
  -t, --threads                Number of threads (default: optimal number for performance)

Filtering:
  -E, --EID-filter                      Scan only common EIDs for faster speed (./rules/config/target_event_IDs.txt)
  -D, --enable-deprecated-rules         Enable rules with a status of deprecated
  -n, --enable-noisy-rules              Enable rules set to noisy (./rules/config/noisy_rules.txt)
  -u, --enable-unsupported-rules        Enable rules with a status of unsupported
  -e, --exact-level              Only load rules with a specific level (informational, low, medium, high, critical)
      --exclude-category   Do not load rules with specified logsource categories (ex: process_creation,pipe_created)
      --exclude-computer   Do not scan specified computer names (ex: ComputerA) (ex: ComputerA,ComputerB)
      --exclude-eid             Do not scan specific EIDs for faster speed (ex: 1) (ex: 1,4688)
      --exclude-status       Do not load rules according to status (ex: experimental) (ex: stable,test)
      --exclude-tag             Do not load rules with specific tags (ex: sysmon)
      --include-category   Only load rules with specified logsource categories (ex: process_creation,pipe_created)
      --include-computer   Scan only specified computer names (ex: ComputerA) (ex: ComputerA,ComputerB)
      --include-eid             Scan only specified EIDs for faster speed (ex: 1) (ex: 1,4688)
      --include-status       Only load rules with specific status (ex: experimental) (ex: stable,test)
      --include-tag             Only load rules with specific tags (ex: attack.execution,attack.discovery)
  -m, --min-level                Minimum level for rules to load (default: informational)
  -P, --proven-rules                    Scan with only proven rules for faster speed (./rules/config/proven_rules.txt)
      --timeline-end              End time of the event logs to load (ex: "2022-02-22 23:59:59 +09:00")
      --timeline-offset         Scan recent events based on an offset (ex: 1y, 3M, 30d, 24h, 30m)
      --timeline-start            Start time of the event logs to load (ex: "2020-02-22 00:00:00 +09:00")

Output:
  -G, --GeoIP        Add GeoIP (ASN, city, country) info to IP addresses
  -H, --HTML-report            Save Results Summary details to an HTML report (ex: results.html)
  -M, --multiline                    Output event field information in multiple rows
  -F, --no-field-data-mapping        Disable field data mapping
      --no-pwsh-field-extraction     Disable field extraction of PowerShell classic logs
  -o, --output                 Save the timeline in CSV format (ex: results.csv)
  -p, --profile             Specify output profile
  -R, --remove-duplicate-data        Duplicate field data will be replaced with "DUP"
  -X, --remove-duplicate-detections  Remove duplicate detections (default: disabled)

Display Settings:
      --no-color            Disable color output
  -N, --no-summary          Do not display Results Summary for faster speed
  -q, --quiet               Quiet mode: do not display the launch banner
  -v, --verbose             Output verbose information
  -T, --visualize-timeline  Output event frequency timeline (terminal needs to support unicode)

Time Format:
      --European-time     Output timestamp in European time format (ex: 22-02-2022 22:00:00.123 +02:00)
      --ISO-8601          Output timestamp in ISO-8601 format (ex: 2022-02-22T10:10:10.1234567Z) (Always UTC)
      --RFC-2822          Output timestamp in RFC 2822 format (ex: Fri, 22 Feb 2022 22:00:00 -0600)
      --RFC-3339          Output timestamp in RFC 3339 format (ex: 2022-02-22 22:00:00.123456-06:00)
      --US-military-time  Output timestamp in US military time format (ex: 02-22-2022 22:00:00.123 -06:00)
      --US-time           Output timestamp in US time format (ex: 02-22-2022 10:00:00.123 PM -06:00)
  -U, --UTC               Output time in UTC format (default: local time)

csv-timelineコマンドの例

  • デフォルトのstandardプロファイルを使用して 1 つの Windows イベント ログ ファイルに対して hayabusa を実行します。 
 hayabusa.exe csv-timeline -f eventlog.evtx
  • 詳細プロファイルを持つ複数の Windows イベント ログ ファイルを含むサンプル evtx ディレクトリに対して hayabusa を実行します。 
 hayabusa.exe csv-timeline -d .hayabusa-sample-evtx -p verbose
  • LibreOffice、Timeline Explorer、Elastic Stack などでさらに分析するために単一の CSV ファイルにエクスポートし、すべてのフィールド情報を含めます (警告: super-verboseプロファイルを使用すると、ファイルの出力サイズが大幅に大きくなります!)。 
 hayabusa.exe csv-timeline -d .hayabusa-sample-evtx -o results.csv -p super-verbose
  • EID (イベント ID) フィルターを有効にします。

注: EID フィルターを有効にすると、テストでは分析が約 10 ~ 15% 高速化されますが、アラートが見逃される可能性があります。 

 hayabusa.exe csv-timeline -E -d .hayabusa-sample-evtx -o results.csv
  • hayabusa ルールのみを実行します (デフォルトでは、 -r .rules内のすべてのルールが実行されます)。 
 hayabusa.exe csv-timeline -d .hayabusa-sample-evtx -r .ruleshayabusa -o results.csv -w
  • Windows でデフォルトで有効になっているログに対してのみ hayabusa ルールを実行します。 
 hayabusa.exe csv-timeline -d .hayabusa-sample-evtx -r .ruleshayabusabuiltin -o results.csv -w
  • sysmon ログに対して hayabusa ルールのみを実行します。 
 hayabusa.exe csv-timeline -d .hayabusa-sample-evtx -r .ruleshayabusasysmon -o results.csv -w
  • シグマ ルールのみを実行します。 
 hayabusa.exe csv-timeline -d .hayabusa-sample-evtx -r .rulessigma -o results.csv -w
  • 非推奨ルール ( statusdeprecatedとしてマークされているルール) とノイズの多いルール (ルール ID が.rulesconfignoisy_rules.txtにリストされているルール) を有効にします。

注: 最近、非推奨のルールは sigma リポジトリの別のディレクトリに配置されるようになったため、Hayabusa にはデフォルトで含まれなくなりました。したがって、おそらく、非推奨のルールを有効にする必要はありません。 

 hayabusa.exe csv-timeline -d .hayabusa-sample-evtx --enable-noisy-rules --enable-deprecated-rules -o results.csv -w
  • UTC タイムゾーンでのログオンと出力を分析するルールのみを実行します。 
 hayabusa.exe csv-timeline -d .hayabusa-sample-evtx -r .ruleshayabusabuiltinSecurityLogonLogoffLogon -U -o results.csv -w
  • 稼働中の Windows マシン上で実行し (管理者権限が必要)、アラート (潜在的に悪意のある動作) のみを検出します。 
 hayabusa.exe csv-timeline -l -m low
  • 詳細情報を出力します (処理に時間がかかるファイルの特定、エラーの解析などに役立ちます)。 
 hayabusa.exe csv-timeline -d .hayabusa-sample-evtx -v
  • 詳細な出力例:

読み込みルール: 

 Loaded rule: rules/sigma/builtin/deprecated/proc_creation_win_susp_run_folder.yml
Loaded rule: rules/sigma/builtin/deprecated/proc_creation_win_execution_mssql_xp_cmdshell_stored_procedure.yml
Loaded rule: rules/sigma/builtin/deprecated/proc_creation_win_susp_squirrel_lolbin.yml
Loaded rule: rules/sigma/builtin/win_alert_mimikatz_keywords.yml

スキャン中のエラー: 

 [ERROR] Failed to parse event file.
EventFile: ../logs/Microsoft-Rdms-UI%4Operational.evtx
Error: Failed to parse record number 58471

[ERROR] Failed to parse event file.
EventFile: ../logs/Microsoft-Rdms-UI%4Operational.evtx
Error: Failed to parse record number 58470

[ERROR] Failed to parse event file.
EventFile: ../logs/Microsoft-Windows-AppxPackaging%4Operational.evtx
Error: An error occurred while trying to serialize binary xml to output.
  • Timesketch へのインポートと互換性のある CSV 形式に出力します。 
 hayabusa.exe csv-timeline -d ../hayabusa-sample-evtx --RFC-3339 -o timesketch-import.csv -p timesketch -U
  • Quiet error モード: デフォルトでは、hayabusa はエラー メッセージをエラー ログ ファイルに保存します。エラーメッセージを保存したくない場合は、 -Qを追加してください。

詳細 - GeoIP ログの強化

無料の GeoLite2 地理位置情報データを使用して、GeoIP (ASN 組織、都市、国) 情報を SrcIP (ソース IP) フィールドと TgtIP (ターゲット IP) フィールドに追加できます。

手順:

  1. まず、ここで MaxMind アカウントにサインアップします。
  2. ダウンロード ページから 3 つの.mmdbファイルをダウンロードし、ディレクトリに保存します。ファイル名はGeoLite2-ASN.mmdbGeoLite2-City.mmdb 、およびGeoLite2-Country.mmdbという名前にする必要があります。
  3. csv-timelineまたはjson-timelineコマンドを実行するときは、 -Gオプションの後に MaxMind データベースのあるディレクトリを追加します。

  • csv-timelineを使用すると、 SrcASNSrcCitySrcCountryTgtASNTgtCityTgtCountryの 6 つの列が追加で出力されます。

  • json-timelineが使用される場合、同じSrcASNSrcCitySrcCountryTgtASNTgtCityTgtCountryフィールドがDetailsオブジェクトに追加されますが、これはそれらのフィールドに情報が含まれている場合に限られます。

  • SrcIPまたはTgtIPが localhost ( 127.0.0.1::1など) の場合、 SrcASNまたはTgtASN Localとして出力されます。

  • SrcIPまたはTgtIPがプライベート IP アドレス ( 10.0.0.0/8fe80::/10など) の場合、 SrcASNまたはTgtASN Privateとして出力されます。

GeoIP 構成ファイル

GeoIP データベースで検索されるソースおよびターゲット IP アドレスを含むフィールド名はrules/config/geoip_field_mapping.yamlで定義されます。必要に応じて、このリストに追加できます。このファイルには、IPアドレス情報を抽出するイベントを決定するフィルターセクションもあります。

GEOIPデータベースの自動更新

Maxmind Geoipデータベースは2週間ごとに更新されます。これらのデータベースを自動的に更新するために、Maxmind geoipupdateツールをここにインストールできます。

macosのステップ:

  1. brew install geoipupdate
  2. edit /usr/local/etc/GeoIP.conf Webサイトにログインした後に作成したAccountIDLicenseKeyを入れます。 EditionIDs LineがEditionIDs GeoLite2-ASN GeoLite2-City GeoLite2-Countryと言っていることを確認してください。
  3. geoipupdateを実行します。
  4. GEOIP情報を追加する場合は、 -G /usr/local/var/GeoIPを追加します。

Windowsのステップ:

  1. リリースページから最新のWindows Binary(例: geoipupdate_4.10.0_windows_amd64.zip )をダウンロードしてください。
  2. 編集ProgramDataMaxMind/GeoIPUpdateGeoIP.conf :Maxmind Webサイトにログインした後に作成したAccountIDLicenseKeyを入れます。 EditionIDs LineがEditionIDs GeoLite2-ASN GeoLite2-City GeoLite2-Countryと言っていることを確認してください。
  3. geoipupdate実行可能ファイルを実行します。

csv-timelineコマンドConfigファイル

./rules/config/channel_abbreviations.txt :チャンネル名とその略語のマッピング。

./rules/config/default_details.txt :デフォルトのフィールド情報( %Details%フィールド)の構成ファイルは、 details:行がルールで指定されています。これは、プロバイダー名とイベントIDに基づいています。

./rules/config/eventkey_alias.txt :このファイルには、フィールドと元の長いフィールド名の短い名前エイリアスのマッピングがあります。

例: 

 InstanceID,Event.UserData.UMDFHostDeviceArrivalBegin.InstanceId
IntegrityLevel,Event.EventData.IntegrityLevel
IpAddress,Event.EventData.IpAddress

ここでフィールドが定義されていない場合、hayabusaはEvent.EventDataの下で自動的にフィールドをチェックします。

./rules/config/exclude_rules.txt :このファイルには、使用から除外されるルールIDのリストがあります。通常、これは、あるルールが別のルールを置き換えたか、最初にルールを使用できないためです。ファイアウォールやIDSと同様に、署名ベースのツールは、環境に適合するために何らかのチューニングが必要なため、特定のルールを永続的または一時的に除外する必要があります。ルールID(例: 4fe151c2-ecf9-4fae-95ae-b88ec9c2fca6 ./rules/config/exclude_rules.txt追加できます。

./rules/config/noisy_rules.txt :このファイルは、デフォルトで無効になっているが、 -n, --enable-noisy-rulesオプションを使用してノイズの多いルールを有効にすることで有効にできるルールIDのリストをファイルします。これらのルールは、通常、本質的に騒々しく、または誤検知のために騒々しくなります。

./rules/config/target_event_IDs.txtフィルターが有効になっている場合、このファイルで指定されたイベントIDのみがスキャンされます。デフォルトでは、Hayabusaはすべてのイベントをスキャンしますが、パフォーマンスを改善したい場合は、 -E, --EID-filterオプションを使用してください。これにより、通常、10〜25%の速度が向上します。

json-timelineコマンド

json-timelineコマンドは、JSONまたはJSONL形式のイベントのフォレンジックタイムラインを作成します。 JSONLへの出力は、JSONよりもファイルサイズが高く、小さいため、結果をElastic Stackなどの別のツールにインポートするだけでいいです。 JSONは、テキストエディターで結果を手動で分析する場合に優れています。 CSV出力は、小さなタイムライン(通常は2GB未満)をLibreofficeやTimeline Explorerなどのツールにインポートするのに適しています。 JSONは、 Detailsフィールドを分離して分析するために分離されているため、 jqなどのツールを使用したデータのより詳細な分析(大規模な結果ファイルを含む)に最適です。 (CSV出力では、すべてのイベントログフィールドが1つの大きなDetails列にあり、データなどのソートを作成します...より困難です。)

Scan recent events based on an offset (ex: 1y, 3M, 30d, 24h, 30m) --timeline-start Start time of the event logs to load (ex: "2020-02-22 00:00:00 +09:00") Output: -G, --GeoIP Add GeoIP (ASN, city, country) info to IP addresses -H, --HTML-report Save Results Summary details to an HTML report (ex: results.html) -L, --JSONL-output Save the timeline in JSONL format (ex: -L -o results.jsonl) -F, --no-field-data-mapping Disable field data mapping --no-pwsh-field-extraction Disable field extraction of PowerShell classic logs -o, --output Save the timeline in JSON format (ex: results.json) -p, --profile Specify output profile -R, --remove-duplicate-data Duplicate field data will be replaced with "DUP" -X, --remove-duplicate-detections Remove duplicate detections (default: disabled) Display Settings: --no-color Disable color output -N, --no-summary Do not display Results Summary for faster speed -q, --quiet Quiet mode: do not display the launch banner -v, --verbose Output verbose information -T, --visualize-timeline Output event frequency timeline (terminal needs to support unicode) Time Format: --European-time Output timestamp in European time format (ex: 22-02-2022 22:00:00.123 +02:00) --ISO-8601 Output timestamp in ISO-8601 format (ex: 2022-02-22T10:10:10.1234567Z) (Always UTC) --RFC-2822 Output timestamp in RFC 2822 format (ex: Fri, 22 Feb 2022 22:00:00 -0600) --RFC-3339 Output timestamp in RFC 3339 format (ex: 2022-02-22 22:00:00.123456-06:00) --US-military-time Output timestamp in US military time format (ex: 02-22-2022 22:00:00.123 -06:00) --US-time Output timestamp in US time format (ex: 02-22-2022 10:00:00.123 PM -06:00) -U, --UTC Output time in UTC format (default: local time)">
 Usage: json-timeline  [OPTIONS]

Input:
  -d, --directory   Directory of multiple .evtx files
  -f, --file       File path to one .evtx file
  -l, --live-analysis    Analyze the local C:WindowsSystem32winevtLogs folder

General Options:
  -C, --clobber                        Overwrite files when saving
  -h, --help                           Show the help menu
  -J, --JSON-input                     Scan JSON formatted logs instead of .evtx (.json or .jsonl)
  -s, --sort-events                    Sort events before saving the file. (warning: this uses much more memory!)
  -w, --no-wizard                      Do not ask questions. Scan for all events and alerts
  -Q, --quiet-errors                   Quiet errors mode: do not save error logs
  -x, --recover-records                Carve evtx records from slack space (default: disabled)
  -r, --rules                Specify a custom rule directory or file (default: ./rules)
  -c, --rules-config              Specify custom rule config directory (default: ./rules/config)
      --target-file-ext   Specify additional evtx file extensions (ex: evtx_data)
  -t, --threads                Number of threads (default: optimal number for performance)

Filtering:
  -E, --EID-filter                      Scan only common EIDs for faster speed (./rules/config/target_event_IDs.txt)
  -D, --enable-deprecated-rules         Enable rules with a status of deprecated
  -n, --enable-noisy-rules              Enable rules set to noisy (./rules/config/noisy_rules.txt)
  -u, --enable-unsupported-rules        Enable rules with a status of unsupported
  -e, --exact-level              Only load rules with a specific level (informational, low, medium, high, critical)
      --exclude-category   Do not load rules with specified logsource categories (ex: process_creation,pipe_created)
      --exclude-computer   Do not scan specified computer names (ex: ComputerA) (ex: ComputerA,ComputerB)
      --exclude-eid             Do not scan specific EIDs for faster speed (ex: 1) (ex: 1,4688)
      --exclude-status       Do not load rules according to status (ex: experimental) (ex: stable,test)
      --exclude-tag             Do not load rules with specific tags (ex: sysmon)
      --include-category   Only load rules with specified logsource categories (ex: process_creation,pipe_created)
      --include-computer   Scan only specified computer names (ex: ComputerA) (ex: ComputerA,ComputerB)
      --include-eid             Scan only specified EIDs for faster speed (ex: 1) (ex: 1,4688)
      --include-status       Only load rules with specific status (ex: experimental) (ex: stable,test)
      --include-tag             Only load rules with specific tags (ex: attack.execution,attack.discovery)
  -m, --min-level                Minimum level for rules to load (default: informational)
  -P, --proven-rules                    Scan with only proven rules for faster speed (./rules/config/proven_rules.txt)
      --timeline-end              End time of the event logs to load (ex: "2022-02-22 23:59:59 +09:00")
      --timeline-offset         Scan recent events based on an offset (ex: 1y, 3M, 30d, 24h, 30m)
      --timeline-start            Start time of the event logs to load (ex: "2020-02-22 00:00:00 +09:00")

Output:
  -G, --GeoIP        Add GeoIP (ASN, city, country) info to IP addresses
  -H, --HTML-report            Save Results Summary details to an HTML report (ex: results.html)
  -L, --JSONL-output                 Save the timeline in JSONL format (ex: -L -o results.jsonl)
  -F, --no-field-data-mapping        Disable field data mapping
      --no-pwsh-field-extraction     Disable field extraction of PowerShell classic logs
  -o, --output                 Save the timeline in JSON format (ex: results.json)
  -p, --profile             Specify output profile
  -R, --remove-duplicate-data        Duplicate field data will be replaced with "DUP"
  -X, --remove-duplicate-detections  Remove duplicate detections (default: disabled)

Display Settings:
      --no-color            Disable color output
  -N, --no-summary          Do not display Results Summary for faster speed
  -q, --quiet               Quiet mode: do not display the launch banner
  -v, --verbose             Output verbose information
  -T, --visualize-timeline  Output event frequency timeline (terminal needs to support unicode)

Time Format:
      --European-time     Output timestamp in European time format (ex: 22-02-2022 22:00:00.123 +02:00)
      --ISO-8601          Output timestamp in ISO-8601 format (ex: 2022-02-22T10:10:10.1234567Z) (Always UTC)
      --RFC-2822          Output timestamp in RFC 2822 format (ex: Fri, 22 Feb 2022 22:00:00 -0600)
      --RFC-3339          Output timestamp in RFC 3339 format (ex: 2022-02-22 22:00:00.123456-06:00)
      --US-military-time  Output timestamp in US military time format (ex: 02-22-2022 22:00:00.123 -06:00)
      --US-time           Output timestamp in US time format (ex: 02-22-2022 10:00:00.123 PM -06:00)
  -U, --UTC               Output time in UTC format (default: local time)

json-timelineコマンドの例と構成ファイル

json-timelineのオプションと構成ファイルは、 csv-timelineと同じですが、JSONL形式に出力するための1つの追加オプション-L, --JSONL-output

level-tuningコマンド

level-tuningコマンドにより、環境に応じてリスクレベルを引き上げたり減らしたりすることで、ルールのアラートレベルを調整できます。 

 Usage: level-tuning [OPTIONS]

Display Settings:
      --no-color  Disable color output
  -q, --quiet     Quiet mode: do not display the launch banner

General Options:
  -f, --file   Tune alert levels (default: ./rules/config/level_tuning.txt)

level-tuningコマンドの例

  • 通常の使用法: hayabusa.exe level-tuning
  • カスタム構成ファイルに基づくチューンルールアラートレベル: hayabusa.exe level-tuning -f my_level_tuning.txt

level-tuning構成ファイル

HayabusaとSigmaのルール著者は、ルールを書くときにアラートのリスクレベルを決定します。ただし、実際のリスクレベルは環境に応じて異なる場合があります。ルールのリスクレベルを./rules/config/level_tuning.txtに追加し、ルールファイルのlevel行を更新するhayabusa.exe level-tuningを実行することができます。ルールファイルは直接更新されることに注意してください。

警告: update-rules実行すると、元のアラートレベルが変更された設定を上書きするため、レベルを変更する場合はupdate-rules実行するたびにlevel-tuningコマンドを実行する必要があります。

./rules/config/level_tuning.txtサンプルライン: 

 id,new_level
00000000-0000-0000-0000-000000000000,informational # sample level tuning line

この場合、ルールディレクトリの00000000-0000-0000-0000-000000000000idを使用したルールのリスクレベルは、そのlevel informationalに書き換えられます。設定する可能性のあるレベルは、 criticalhighmediumlowinformationalです。

list-profilesコマンド

 Usage: list-profiles [OPTIONS]

Display Settings:
      --no-color  Disable color output
  -q, --quiet     Quiet mode: do not display the launch banner

set-default-profileコマンド

 Usage: set-default-profile [OPTIONS]

Display Settings:
      --no-color  Disable color output
  -q, --quiet     Quiet mode: do not display the launch banner

General Options:
  -p, --profile   Specify output profile

set-default-profileコマンドの例

  • デフォルトのプロファイルをminimalに設定: hayabusa.exe set-default-profile minimal
  • デフォルトのプロファイルをsuper-verboseに設定: hayabusa.exe set-default-profile super-verbose

update-rulesコマンド

update-rulesコマンドは、 rulesフォルダーをHayabusa Rules GitHubリポジトリと同期し、ルールと構成ファイルを更新します。 

 Usage: update-rules [OPTIONS]

Display Settings:
      --no-color  Disable color output
  -q, --quiet     Quiet mode: do not display the launch banner

General Options:
  -r, --rules   Specify a custom rule directory or file (default: ./rules)

update-rulesコマンドの例

通常、これを実行するだけです: hayabusa.exe update-rules

タイムライン出力

出力プロファイル

Hayabusaには、 config/profiles.yamlで使用できる5つの事前定義された出力プロファイルがあります。

  1. minimal
  2. standard (デフォルト)
  3. verbose
  4. all-field-info
  5. all-field-info-verbose
  6. super-verbose
  7. timesketch-minimal
  8. timesketch-verbose

このファイルを編集して、独自のプロファイルを簡単にカスタマイズまたは追加できます。また、 set-default-profile --profile でデフォルトのプロファイルを簡単に変更することもできます。 list-profilesコマンドを使用して、利用可能なプロファイルとそのフィールド情報を表示します。

1. minimalプロファイル出力

%Timestamp%, %Computer%, %Channel%, %EventID%, %Level%, %RecordID%, %RuleTitle%, %Details%

2。 standardプロファイル出力

%Timestamp%, %Computer%, %Channel%, %EventID%, %Level%, %RecordID%, %RuleTitle%, %Details%, %ExtraFieldInfo%

3。 verboseプロファイル出力

%Timestamp%, %Computer%, %Channel%, %EventID%, %Level%, %MitreTactics%, %MitreTags%, %OtherTags%, %RecordID%, %RuleTitle%, %Details%, %ExtraFieldInfo%, %RuleFile%, %EvtxFile%

4。All all-field-infoプロファイル出力

最小限のdetails情報を出力する代わりに、 EventDataおよびUserDataセクションのすべてのフィールド情報は、元のフィールド名とともに出力されます。

%Timestamp%, %Computer%, %Channel%, %EventID%, %Level%, %RecordID%, %RuleTitle%, %AllFieldInfo%, %RuleFile%, %EvtxFile%

5。ALL all-field-info-verboseプロファイル出力

%Timestamp%, %Computer%, %Channel%, %EventID%, %Level%, %MitreTactics%, %MitreTags%, %OtherTags%, %RecordID%, %RuleTitle%, %AllFieldInfo%, %RuleFile%, %EvtxFile%

6。 super-verboseプロファイル出力

%Timestamp%, %Computer%, %Channel%, %EventID%, %Level%, %RuleTitle%, %RuleAuthor%, %RuleModifiedDate%, %Status%, %RecordID%, %Details%, %ExtraFieldInfo%, %MitreTactics%, %MitreTags%, %OtherTags%, %Provider%, %RuleCreationDate%, %RuleFile%, %EvtxFile%

7。Timesketch timesketch-minimalプロファイル出力

Timesketchへのインポートと互換性のある形式への出力。

%Timestamp%, hayabusa, %RuleTitle%, %Computer%, %Channel%, %EventID%, %Level%, %MitreTactics%, %MitreTags%, %OtherTags%, %RecordID%, %Details%, %RuleFile%, %EvtxFile%

8。TimesKetch timesketch-verboseプロファイル出力

%Timestamp%, hayabusa, %RuleTitle%, %Computer%, %Channel%, %EventID%, %Level%, %MitreTactics%, %MitreTags%, %OtherTags%, %RecordID%, %Details%, %ExtraFieldInfo%, %RuleFile%, %EvtxFile%

プロファイルの比較

次のベンチマークは、3GBのEVTXデータと3891ルールが有効になっている2018 Lenovo P51(Xeon 4 Core CPU / 64GB RAM)で実施されました。 (2023/06/01)

プロフィール処理時間出力ファイルサイズFilesizeの増加
最小限の8分50秒770 MB -30%
標準(デフォルト) 9分00秒1.1 GBなし
冗長な9分10秒1.3GB +20%
All-Field-INFO 9分3秒1.2 GB +10%
All-field-info-verbose 9分10秒1.3GB +20%
超verbose 9分12秒1.5GB +35%

プロファイルフィールドエイリアス

以下の情報は、組み込みの出力プロファイルで出力できます。

エイリアス名Hayabusa出力情報
%allfieldinfo%すべてのフィールド情報。
%チャネル%ログの名前。 フィールド。
%コンピューター% フィールド。
%詳細%ただし、YML検出ルールのdetailsフィールドは、Hayabusaルールのみがこのフィールドを持っています。このフィールドは、アラートまたはイベントに関する追加の情報を提供し、イベントログのフィールドから有用なデータを抽出できます。たとえば、ユーザー名、コマンドライン情報、プロセス情報など...プレースホルダーが存在しないフィールドを指している場合、または誤ったエイリアスマッピングがある場合、 n/aとして出力されます(利用できません)。 detailsフィールドが指定されていない場合(つまり、sigmaルール)、デフォルトのdetailsメッセージ./rules/config/default_details.txtで定義されたフィールドを抽出します。 default_details.txtに出力するProvider NameEventID 、およびdetailsメッセージを追加することにより、デフォルトのdetailsメッセージを追加できます。 detailsフィールドがルールまたはdefault_details.txtで定義されていない場合、すべてのフィールドはdetails列に出力されます。
%extrafieldinfo% %詳細%で出力されなかったフィールド情報を印刷します。
%eventID% フィールド。
%evtxfile%アラートまたはイベントを引き起こしたEVTXファイル名。
%レベル% YML検出ルールのlevelフィールド。 ( informationallowmediumhighcritical
%mitretactics% Miter att&ck戦術(例:初期アクセス、横方向の動きなど...)。
%mitretags% Miter ATT&CKグループID、手法ID、ソフトウェアID。
%othertags% MitreTacticsまたはMitreTagsに含まれていないYML検出ルールのtagsフィールドのキーワード。
%プロバイダー% フィールドのName属性。
%RecordID% フィールドからのイベントレコードID。
%ruleauthor% YML検出ルールのauthorフィールド。
%reooleCreationDate% YML検出ルールのdateフィールド。
%rulefile%アラートまたはイベントを生成した検出ルールのファイル名。
%rulemodifieddate% YML検出ルールのmodifiedフィールド。
%Ruletitle% YML検出ルールのtitleフィールド。
%状態% YML検出ルールのstatusフィールド。
%タイムスタンプ%デフォルトはYYYY-MM-DD HH:mm:ss.sss +hh:mm形式です。 フィールド。デフォルトのタイムゾーンはローカルタイムゾーンですが、 --UTCオプションを使用してタイムゾーンをUTCに変更できます。

追加のプロファイルフィールドエイリアス

必要な場合は、これらの追加エイリアスを出力プロファイルに追加することもできます。

エイリアス名Hayabusa出力情報
%renderedMessage% WEC転送ログのフィールド。
%rileid% YML検出ルールのidフィールド。

注:これらは組み込みのプロファイルに含まれていないため、 config/default_profile.yamlファイルを手動で編集し、次の行を追加する必要があります。 

 Message: "%RenderedMessage%"
RuleID: "%RuleID%"

また、イベントキーエイリアスを定義して、他のフィールドを出力することもできます。

レベルの略語

スペースを節約するために、アラートlevel表示するときに次の略語を使用します。

  • critcritical
  • highhigh
  • medmedium
  • lowlow
  • infoinformational

Miter att&ck戦術の略語

スペースを節約するために、Miter ATT&CK TACTICタグを表示するときに、次の略語を使用します。これらの略語を./config/mitre_tactics.txt構成ファイルで自由に編集できます。

  • Recon :偵察
  • ResDev :リソース開発
  • InitAccess :初期アクセス
  • Exec :実行
  • Persis :持続性
  • PrivEsc :特権エスカレーション
  • Evas :防衛回避
  • CredAccess :資格情報アクセス
  • Disc :発見
  • LatMov :横方向の動き
  • Collect :コレクション
  • C2 :コマンドとコントロール
  • Exfil :exfltration
  • Impact :影響

チャネルの略語

スペースを節約するために、チャネルを表示するときに次の略語を使用します。これらの略語を./rules/config/channel_abbreviations.txt構成ファイルで自由に編集できます。

  • AppApplication
  • AppLockerMicrosoft-Windows-AppLocker/*
  • BitsCliMicrosoft-Windows-Bits-Client/Operational
  • CodeIntegMicrosoft-Windows-CodeIntegrity/Operational
  • DefenderMicrosoft-Windows-Windows Defender/Operational
  • DHCP-SvrMicrosoft-Windows-DHCP-Server/Operational
  • DNS-SvrDNS Server
  • DvrFmwkMicrosoft-Windows-DriverFrameworks-UserMode/Operational
  • ExchangeMSExchange Management
  • FirewallMicrosoft-Windows-Windows Firewall With Advanced Security/Firewall
  • KeyMgtSvcKey Management Service
  • LDAP-CliMicrosoft-Windows-LDAP-Client/Debug
  • NTLM Microsoft-Windows-NTLM/Operational
  • OpenSSHOpenSSH/Operational
  • PrintAdmMicrosoft-Windows-PrintService/Admin
  • PrintOpMicrosoft-Windows-PrintService/Operational
  • PwShMicrosoft-Windows-PowerShell/Operational
  • PwShClassicWindows PowerShell
  • RDP-ClientMicrosoft-Windows-TerminalServices-RDPClient/Operational
  • SecSecurity
  • SecMitigMicrosoft-Windows-Security-Mitigations/*
  • SmbCliSecMicrosoft-Windows-SmbClient/Security
  • SvcBusCliMicrosoft-ServiceBus-Client
  • SysSystem
  • SysmonMicrosoft-Windows-Sysmon/Operational
  • TaskSchMicrosoft-Windows-TaskScheduler/Operational
  • WinRMMicrosoft-Windows-WinRM/Operational
  • WMIMicrosoft-Windows-WMI-Activity/Operational

その他の略語

次の略語は、出力をできるだけ簡潔にするために、ルールで使用されます。

  • Acct > account
  • Addr >アドレス
  • Auth >認証
  • Cli >クライアント
  • Chan - >チャンネル
  • Cmd >コマンド
  • Cnt > count
  • Comp >コンピューター
  • Conn >接続/接続
  • Creds - >資格情報
  • Crit - >クリティカル
  • Disconn - >切断/切断
  • Dir >ディレクトリ
  • Drv >ドライバー
  • Dst >宛先
  • EID >イベントID
  • Err >エラー
  • Exec > execution
  • FW >ファイアウォール
  • Grp >グループ
  • Img >画像
  • Inj >噴射
  • Krb > Kerberos
  • LID - >ログオンID
  • Med > Medium
  • Net - >ネットワーク
  • Obj >オブジェクト
  • Op >操作/操作
  • Proto > protocol
  • PW >パスワード
  • Reconn > reconnection
  • Req >リクエスト
  • Rsp >応答
  • Sess >セッション
  • Sig >署名
  • Susp - >疑わしい
  • Src >ソース
  • Svc >サービス
  • Svr >サーバー
  • Temp - >一時的
  • Term - >終端/終了
  • Tkt >チケット
  • Tgt >ターゲット
  • Unkwn >不明
  • Usr >ユーザー
  • Perm > permanment
  • Pkg >パッケージ
  • Priv > privilege
  • Proc >プロセス
  • PID >プロセスID
  • PGUID > ProcessGUID(グローバル一意のID)
  • Ver >バージョン

プログレスバー

Progress Barは、複数のEVTXファイルでのみ動作します。分析が終了したEVTXファイルの数とパーセントをリアルタイムで表示します。

色の出力

アラートは、アラートlevelに基づいて色で出力されます。 level,(RGB 6-digit ColorHex)./config/level_color.txtの構成ファイルのデフォルトの色を変更できます。色の出力を無効にする場合は、 --no-colorオプションを使用できます。

結果の概要

合計イベント、ヒットのあるイベントの数、データ削減メトリック、合計および一意の検出、最も検出された日付、検出を備えたトップコンピューター、およびスキャンごとにトップアラートが表示されます。

検出フェークタイムライン

-T, --visualize-timelineオプションを追加すると、イベント周波数タイムライン機能には、検出されたイベントのスパークライン周波数タイムラインが表示されます。注:5つ以上のイベントが必要です。また、文字はデフォルトのコマンドプロンプトまたはPowerShellプロンプトで正しくレンダリングされないため、Windowsターミナル、ITERM2などのターミナルを使用してください...

hayabusaルール

Hayabusa検出ルールは、SigmaのようなYML形式で記述されており、 rulesフォルダーにあります。ルールはhttps://github.com/yamato-security/hayabusa-rulesでホストされているため、メインのHayabusaリポジトリの代わりに問題を送信してルールのリクエストをコープアップしてください。

ルール形式とルールの作成方法について理解するには、Hayabusa-Rule Repository ReadMeをお読みください。

Hayabusa-Rulesリポジトリのすべてのルールは、 rulesフォルダーに配置する必要があります。 informationalレベルのルールはeventsと見なされますが、 lowlevelを持つものはすべてalertsと見なされます。

Hayabusaルールディレクトリ構造は、2つのディレクトリに分けられます。

  • builtin :Windows内蔵機能によって生成できるログ。
  • sysmon :Sysmonによって生成されるログ。

ルールは、ログタイプ(例:セキュリティ、システムなど)によってディレクトリにさらに分離され、次の形式で名前が付けられます。

新しいものを作成したり、検出ロジックをチェックするために、テンプレートとして使用する現在のルールを確認してください。

Sigma vs Hayabusa(ビルトインSigma互換)ルール

Hayabusaは、 logsourceフィールドを内部で処理することを除いて、Sigmaルールをネイティブにサポートしています。誤検知を減らすために、ここで説明されているコンバーターを介してシグマルールを実行する必要があります。これにより、適切なChannelEventIDが追加され、 process_creationなどの特定のカテゴリのフィールドマッピングが実行されます。

ほぼすべてのHayabusaルールはSigma形式と互換性があるため、Sigmaルールと同じように使用して他のSIEM形式に変換できます。 Hayabusaルールは、Windowsイベントログ分析のためだけに設計されており、次の利点があります。

  1. ログ内の便利なフィールドのみから取得した追加情報を表示するための追加のdetailsフィールド。
  2. それらはすべてサンプルログに対してテストされており、機能することが知られています。
  3. |equalsfield|endswithfieldなど、Sigmaには見つかりません。

私たちの知る限り、Hayabusaは、オープンソースWindowsイベントログ分析ツールからSigmaルールの最大のネイティブサポートを提供します。

その他のWindowsイベントログアナライザーと関連リソース

  • Apt -Hunter -Pythonで記述された攻撃検出ツール。
  • 素晴らしいイベントID-デジタルフォレンジックとインシデント対応に役立つイベントIDリソースのコレクション
  • Chainsaw-さびに記載されている別のSigmaベースの攻撃検出ツール。
  • DeepBluecli-エリックコンラッドがPowerShellに記述された攻撃検出ツール。
  • Epagneul- Windowsイベントログのグラフ視覚化。
  • イベントリスト-MiriamWiesnerによるMiter ATT&CKへのセキュリティベースラインイベントIDをマップします。
  • ウィンドウイベントログIDを使用したマッピングMITRET&CK -MICHEL DE CREVOISIER
  • EVTXECMD -EVTXパーサーEric Zimmerman。
  • evtxtract-未割り当てのスペースとメモリ画像からEVTXログファイルを回復します。
  • evtxtoelk -evtxデータを弾性スタックに送信するPythonツール。
  • EVTX攻撃サンプル-EVTX攻撃サンプルイベントログファイルSBOUSSEADEN。
  • evtx-to-mitre-attack-evtx攻撃サンプルイベントログファイルは、michel de crevoisierによってatt&ckにマッピングされました
  • evtxパーサー - @obenamramによって書かれたrust evtxライブラリ。
  • Grafiki -SysmonとPowershell Log Visualizer。
  • logontracer-ログオンを視覚化してJPCERTCCによる横方向の動きを検出するグラフィカルインターフェイス。
  • NSA Windowsイベント監視ガイダンス-NSAの監視に関するガイド。
  • RustyBlue-ヤマトセキュリティによるDeepbluecliのRustポート。
  • Sigma-コミュニティベースのジェネリックSIEMルール。
  • SOF-ELK-Phil HagenによるDFIR分析のためにデータをインポートするための弾性スタックを備えた事前にパッケージ化されたVM
  • so-import-evtx-evtxファイルをセキュリティオニオンにインポートします。
  • sysmontools- sysmonの構成とオフラインのログ視覚化ツール。
  • タイムラインエクスプローラー - エリックZimmermanによる最高のCSVタイムラインアナライザー。
  • Windowsイベントログ分析 - アナリストリファレンス - フォワードディフェンスのSteve Ansonによる。
  • ジルコライト - Pythonで書かれたSigmaベースの攻撃検出ツール。

Windowsロギングの推奨事項

Windowsマシンで悪意のあるアクティビティを適切に検出するには、デフォルトのログ設定を改善する必要があります。 https://github.com/yamato-security/enablewindowslogsettingsで適切な設定を自動的に有効にするために、ログ設定を有効にする必要があるものを文書化する別のプロジェクトを作成しました。

また、ガイダンスのために次のサイトをお勧めします。

  • JSCU-NL(共同SIGINTサイバーユニットオランダ)ロギングエッセンシャル
  • ACSC(オーストラリアのサイバーセキュリティセンター)ロギングおよびFOWARDING GUIDE
  • マルウェアの考古学チートシート

Sysmon関連プロジェクト

最もフォレンジックの証拠を作成し、精度が最も高いことを検出するには、Sysmonをインストールする必要があります。次のサイトと構成ファイルをお勧めします。

  • TrustedSec Sysmonコミュニティガイド
  • Sysmonモジュラー
  • Swiftonsecurity Sysmon config
  • Neo23x0によるSwiftonsecurity Sysmon構成フォーク
  • Ion-StormによるSwiftonsecurity Sysmon構成フォーク

コミュニティのドキュメント

英語

  • 2023/12/11 Hayabusa Feathersを解き放つ:私のトップ機能が明らかになりました!クリスチャン・ヘンリクセンによって
  • 2023/10/16Md。MahimBin FirojによるHayabusaツールを使用したインシデント対応と脅威狩猟
  • 2023/03/21エリック・カプアノによるhayabusaとのイベントログで脅威を見つける
  • 2023/03/14高橋福uusuke福usuke福usuke
  • 2022/06/19エリック・カプアノによるヴェロキラプトルのウォークスルーとハヤブサの統合
  • 2022/01/24 Hayabusaのグラフ化Matthew Seyer(@forensic_matt)によるNeo4jの結果

日本語

  • 2024/01/24 lme×hayabusa
  • 2023/09/29 HayabusaとSplunkによるFast Forensics by Nec Security Blog
  • 2023/09/13 FFRIによるHayabusaによるWindowsイベントログ分析
  • 2022/03/14高橋福uusuke福usukeの開発者向けのラストパフォーマンスガイド
  • 2022/01/22 hayabusaの視覚化は、 @kzzzzo2による弾性スタックになります
  • 2021/12/31 ITIBによるHayabusaへのイントロ(@itib_s144)
  • 2021/12/27 KazuminnによるHayabusa Internals(@k47_um1n)

貢献

あらゆる形の貢献が大好きです。プル要求、ルール作成、サンプルEVTXログは最良ですが、機能リクエストはバグなどを通知することも大歓迎です。

少なくとも、あなたが私たちのツールが好きなら、GitHubでスターを教えて、あなたのサポートを示してください!

バグの提出

ここにあるバグを提出してください。このプロジェクトは現在積極的に維持されており、報告されたバグを修正して喜んでいます。

Hayabusaルールで問題(誤検知、バグなど)が見つかった場合は、こちらのHayabusa-Rule Githubの問題ページに報告してください。

Sigmaルールで問題(誤検知、バグなど)が見つかった場合は、上流のSigmahq Githubの問題ページに報告してください。

ライセンス

HayabusaはAgplv3の下でリリースされ、すべてのルールは検出ルールライセンス(DRL)1.1に基づいてリリースされます。

Hayabusaは、https://www.maxmind.comから入手可能なMaxmindが作成したGeolite2データを使用しています。

ツイッター

@securityyamatoでTwitterで私たちをフォローすることにより、Hayabusa、ルールの更新、その他のヤマトセキュリティツールなどに関する最新のニュースを受け取ることができます。

拡大する
追加情報
関連アプリ
おすすめ
関連情報 すべて
ユーザーコメント