하야부사

Hayabusa는 일본의 Yamato Security 그룹에서 만든 Windows 이벤트 로그 빠른 포렌식 타임라인 생성기이자 위협 사냥 도구 입니다. 하야부사(Hayabusa)는 일본어로 "송골매"를 의미하며 송골매는 세계에서 가장 빠른 동물이며 사냥 능력이 뛰어나고 훈련 가능성이 높은 동물로 선택되었습니다. Rust로 작성되었으며 최대한 빠른 속도를 위해 멀티스레딩을 지원합니다. 우리는 시그마 규칙을 하야부사 규칙 형식으로 변환하는 도구를 제공했습니다. Sigma 호환 Hayabusa 탐지 규칙은 가능한 한 쉽게 사용자 정의하고 확장할 수 있도록 YML로 작성되었습니다. Hayabusa는 오프라인 분석을 위해 단일 또는 다중 시스템에서 로그를 수집하여 실시간 분석을 위해 단일 실행 시스템에서 실행하거나 전사적 위협 사냥 및 사고 대응을 위해 Velociraptor와 함께 Hayabusa 아티팩트를 실행하여 실행할 수 있습니다. 출력은 LibreOffice, Timeline Explorer, Elastic Stack, Timesketch 등에서 쉽게 분석할 수 있도록 단일 CSV 타임라인으로 통합됩니다.

• EnableWindowsLogSettings - Windows 이벤트 로그를 올바르게 활성화하기 위한 문서 및 스크립트입니다.
• Hayabusa Encoded Rules - Hayabusa Rules 저장소와 동일하지만 규칙과 구성 파일이 하나의 파일에 저장되고 XOR 처리되어 안티 바이러스의 오탐을 방지합니다.
• 하야부사 규칙 - 하야부사와 엄선된 시그마 탐지 규칙은 하야부사를 사용했습니다.
• 하야부사 EVTX - evtx 상자의 포크를 더욱 잘 관리했습니다.
• 하야부사 샘플 EVTX - 하야부사/시그마 탐지 규칙을 테스트하는 데 사용할 샘플 evtx 파일입니다.
• 프리젠테이션 - 도구 및 리소스에 대해 진행한 강연의 프리젠테이션입니다.
• 시그마에서 하야부사 변환기 - 업스트림 Windows 이벤트 로그 기반 시그마 규칙을 사용하기 쉬운 형식으로 관리합니다.
• Takajo - 하야부사 결과 분석기.
• WELA(Windows 이벤트 로그 분석기) - PowerShell로 작성된 Windows 이벤트 로그용 분석기입니다. (더 이상 사용되지 않으며 Takajo로 대체되었습니다.)

• AllthingsTimesketch - Plaso 및 Hayabusa 결과를 Timesketch로 가져오는 NodeRED 워크플로우입니다.
• LimaCharlie - 귀하의 요구에 맞는 클라우드 기반 보안 도구 및 인프라를 제공합니다.
• OpenRelik - 공동 디지털 포렌식 조사를 간소화하도록 설계된 오픈 소스(Apache-2.0) 플랫폼입니다.
• Splunk4DFIR - Docker를 사용하여 Splunk 인스턴스를 빠르게 가동하여 조사 중에 로그 및 도구 출력을 탐색합니다.
• Velociraptor - VQL(Velociraptor Query Language) 쿼리를 사용하여 호스트 기반 상태 정보를 수집하는 도구입니다.

• 하야부사 소개
• 동반자 프로젝트
• Hayabusa를 사용하는 타사 프로젝트
  • 목차
  • 주요 목표
    • 위협 사냥 및 전사적 DFIR
    • 빠른 포렌식 타임라인 생성
• 스크린샷
  • 시작
  • DFIR 타임라인 터미널 출력
  • 키워드 검색 결과
  • 감지 빈도 타임라인( -T 옵션)
  • 결과 요약
  • HTML 결과 요약( -H 옵션)
  • LibreOffice의 DFIR 타임라인 분석( -M 여러 줄 출력)
  • 타임라인 탐색기의 DFIR 타임라인 분석
  • 타임라인 탐색기의 중요한 경고 필터링 및 컴퓨터 그룹화
  • Elastic Stack 대시보드를 사용한 분석
  • 타임스케치 분석
• 타임라인 결과 가져오기 및 분석
• JQ를 사용하여 JSON 형식 결과 분석
• 특징
• 다운로드
  • Windows 라이브 응답 패키지
• 힘내 복제
• 고급: 소스에서 컴파일(선택 사항)
  • Rust 패키지 업데이트
  • 32비트 Windows 바이너리 크로스 컴파일
  • macOS 컴파일 노트
  • Linux 컴파일 노트
  • Linux MUSL 바이너리 크로스 컴파일
• 달리는 하야부사
  • 주의: 안티바이러스/EDR 경고 및 느린 런타임
  • 윈도우
    • 경로에 공백이 있는 파일이나 디렉터리를 스캔하려고 할 때 오류가 발생했습니다.
  • 리눅스
  • macOS
• 명령 목록
  • 분석 명령:
  • DFIR 타임라인 명령:
  • 일반 명령:
• 명령 사용법
  • 분석 명령
    • computer-metrics 명령
      • computer-metrics 명령 예
      • computer-metrics 스크린샷
    • eid-metrics 명령
      • eid-metrics 명령 예
      • eid-metrics 명령 구성 파일
      • eid-metrics 스크린샷
    • logon-summary 명령
      • logon-summary 명령 예
      • logon-summary 스크린샷
    • pivot-keywords-list 명령
      • pivot-keywords-list 명령 예
      • pivot-keywords-list 구성 파일
    • search 명령
      • search 명령 예
      • search 명령 구성 파일
  • DFIR 타임라인 명령
    • 스캔 마법사
      • 핵심 규칙
      • 코어+ 규칙
      • 핵심++ 규칙
      • 새로운 위협(ET) 추가 기능 규칙
      • Threat Hunting(TH) 추가 기능 규칙
    • 채널 기반 이벤트 로그 및 규칙 필터링
    • csv-timeline 명령
      • csv-timeline 명령 예
      • 고급 - GeoIP 로그 강화
        • GeoIP 구성 파일
        • GeoIP 데이터베이스 자동 업데이트
      • csv-timeline 명령 구성 파일
    • json-timeline 명령
      • json-timeline 명령 예시 및 구성 파일
    • level-tuning 명령
      • level-tuning 명령 예
      • level-tuning 구성 파일
    • list-profiles 명령
    • set-default-profile 명령
      • set-default-profile 명령 예
    • update-rules 명령
      • update-rules 명령 예
• 타임라인 출력
  • 출력 프로필
    • 1. minimal 프로필 출력
    • 2. standard 프로필 출력
    • 3. verbose 프로필 출력
    • 4. all-field-info 프로파일 출력
    • 5. all-field-info-verbose 프로필 출력
    • 6. super-verbose 프로필 출력
    • 7. timesketch-minimal 프로필 출력
    • 8. timesketch-verbose 프로필 출력
    • 프로필 비교
    • 프로필 필드 별칭
      • 추가 프로필 필드 별칭
  • 레벨 약어
  • MITRE ATT&CK 전술 약어
  • 채널 약어
  • 기타 약어
  • 진행률 표시줄
  • 컬러 출력
  • 결과 요약
    • 탐지 빈도 타임라인
• 하야부사 규칙
  • 시그마 대 하야부사(내장 시그마 호환) 규칙
• 기타 Windows 이벤트 로그 분석기 및 관련 리소스
• Windows 로깅 권장 사항
• 시스몬 관련 프로젝트
• 커뮤니티 문서
  • 영어
  • 일본어
• 기부금
• 버그 제출
• 특허
• 지저귀다

하야부사는 현재 4000개 이상의 시그마 규칙과 170개 이상의 하야부사 내장 탐지 규칙을 보유하고 있으며 더 많은 규칙이 정기적으로 추가되고 있습니다. Velociraptor의 Hayabusa 아티팩트를 사용하면 전사적 사전 예방적 위협 사냥은 물론 DFIR(Digital Forensics and Incident Response)에도 무료로 사용할 수 있습니다. 이 두 가지 오픈 소스 도구를 결합하면 환경에 SIEM 설정이 없을 때 기본적으로 SIEM을 소급하여 재현할 수 있습니다. 여기에서 Eric Capuano의 Velociraptor 연습을 시청하면 이 작업을 수행하는 방법을 배울 수 있습니다.

Windows 이벤트 로그는 1) 분석하기 어려운 데이터 형식이고 2) 대부분의 데이터가 노이즈이고 조사에 유용하지 않기 때문에 Windows 이벤트 로그 분석은 전통적으로 매우 길고 지루한 프로세스였습니다. Hayabusa의 목표는 유용한 데이터만 추출하여 전문 교육을 받은 분석가뿐만 아니라 모든 Windows 시스템 관리자가 사용할 수 있는 읽기 쉬운 형식으로 간결하게 표시하는 것입니다. Hayabusa는 분석가가 기존 Windows 이벤트 로그 분석에 비해 20%의 시간에 80%의 작업을 완료할 수 있기를 바라고 있습니다.

여기에서 Excel 및 타임라인 탐색기에서 CSV 타임라인을 분석하는 방법을 알아볼 수 있습니다.

여기에서 CSV 파일을 Elastic Stack으로 가져오는 방법을 알아볼 수 있습니다.

여기에서 CSV 파일을 Timesketch로 가져오는 방법을 알아볼 수 있습니다.

여기에서 jq 사용하여 JSON 형식의 결과를 분석하는 방법을 알아볼 수 있습니다.

• 크로스 플랫폼 지원: Windows, Linux, macOS.
• 메모리에 안전하고 빠르도록 Rust에서 개발되었습니다.
• 최대 5배의 속도 향상을 제공하는 멀티 스레드 지원.
• 법의학 조사 및 사고 대응을 위해 분석하기 쉬운 단일 타임라인을 생성합니다.
• 읽기/생성/편집하기 쉬운 YML 기반 하야부사 규칙으로 작성된 IoC 서명을 기반으로 하는 위협 사냥입니다.
• 시그마 규칙을 하야부사 규칙으로 변환하는 시그마 규칙 지원.
• 현재 다른 유사한 도구에 비해 가장 많은 시그마 규칙을 지원하며 |equalsfield 및 |endswithfield 와 같은 개수 규칙과 새로운 집계자도 지원합니다.
• 컴퓨터 측정항목. (이벤트가 많은 특정 컴퓨터를 필터링하거나 필터링할 때 유용합니다.)
• 이벤트 ID 측정항목. (어떤 유형의 이벤트가 있는지 파악하고 로그 설정을 조정하는 데 유용합니다.)
• 불필요하거나 노이즈가 많은 규칙을 제외하여 규칙 튜닝 구성.
• MITRE ATT&CK 전술 매핑.
• 규칙 수준 조정.
• 비정상적인 사용자, 호스트 이름, 프로세스 등을 신속하게 식별하고 이벤트를 상호 연관시키기 위해 고유한 피벗 키워드 목록을 만듭니다.
• 보다 철저한 조사를 위해 모든 필드를 출력합니다.
• 성공 및 실패한 로그온 요약입니다.
• Velociraptor를 사용하여 모든 엔드포인트에서 전사적 위협 탐지 및 DFIR을 수행합니다.
• CSV, JSON/JSONL 및 HTML 요약 보고서로 출력됩니다.
• 매일 시그마 규칙 업데이트.
• JSON 형식의 로그 입력을 지원합니다.
• 로그 필드 정규화. (다른 명명 규칙을 사용하는 여러 필드를 동일한 필드 이름으로 변환합니다.)
• IP 주소에 GeoIP(ASN, 도시, 국가) 정보를 추가하여 로그를 강화합니다.
• 모든 이벤트에서 키워드나 정규식을 검색하세요.
• 필드 데이터 매핑. (예: 0xc0000234 -> ACCOUNT LOCKED .)
• evtx 여유 공간에서 Evtx 레코드 조각.
• 출력 시 이벤트 중복 제거. (복구 기록이 활성화되거나 백업된 evtx 파일, VSS의 evtx 파일 등을 포함할 때 유용합니다...)
• 스캔 설정 마법사를 통해 활성화할 규칙을 더 쉽게 선택할 수 있습니다. (오탐지 등을 줄이기 위해...)
• PowerShell 클래식 로그 필드 구문 분석 및 추출.
• 메모리 사용량이 적습니다. (참고: 이는 결과를 정렬하지 않음으로써 가능합니다. 에이전트 또는 빅 데이터에서 실행하는 데 가장 적합합니다.)
• 가장 효율적인 성능을 위해 채널 및 규칙을 필터링합니다.

컴파일된 바이너리가 포함된 Hayabusa의 최신 안정 버전을 다운로드하거나 릴리스 페이지에서 소스 코드를 컴파일하십시오.

우리는 다음 아키텍처에 대한 바이너리를 제공합니다.

• Linux ARM 64비트 GNU( hayabusa-xxx-lin-aarch64-gnu )
• Linux Intel 64비트 GNU( hayabusa-xxx-lin-x64-gnu )
• Linux Intel 64비트 MUSL( hayabusa-xxx-lin-x64-musl )
• macOS ARM 64비트( hayabusa-xxx-mac-aarch64 )
• macOS Intel 64비트( hayabusa-xxx-mac-x64 )
• Windows ARM 64비트( hayabusa-xxx-win-aarch64.exe )
• Windows Intel 64비트( hayabusa-xxx-win-x64.exe )
• Windows Intel 32비트( hayabusa-xxx-win-x86.exe )

어떤 이유로 Linux ARM MUSL 바이너리가 제대로 실행되지 않으므로 해당 바이너리를 제공하지 않습니다. 저희가 통제할 수 없는 부분이라 추후에 수정되면 제공해드릴 예정입니다.

v2.18.0부터 단일 파일에 제공되는 XOR 인코딩 규칙과 단일 파일로 결합된 모든 구성 파일(hayabusa-encoded-rules 저장소에서 호스팅됨)을 사용하는 특수 Windows 패키지를 제공합니다. 이름에 live-response 포함된 zip 패키지를 다운로드하기만 하면 됩니다. zip 파일에는 Hayabusa 바이너리, XOR 인코딩 규칙 파일 및 구성 파일의 세 가지 파일만 포함됩니다. 이러한 실시간 응답 패키지의 목적은 클라이언트 엔드포인트에서 Hayabusa를 실행할 때 Windows Defender와 같은 바이러스 백신 스캐너가 .yml 규칙 파일에 대해 오탐지를 제공하지 않도록 하기 위한 것입니다. 또한 USN 저널과 같은 포렌식 아티팩트를 덮어쓰지 않도록 시스템에 기록되는 파일의 양을 최소화하려고 합니다.

다음 명령을 사용하여 저장소를 git clone 하고 소스 코드에서 바이너리를 컴파일할 수 있습니다.

경고: 저장소의 메인 브랜치는 개발 목적이므로 아직 공식적으로 출시되지 않은 새로운 기능에 액세스할 수 있습니다. 그러나 버그가 있을 수 있으므로 불안정하다고 생각하십시오.

git clone https://github.com/Yamato-Security/hayabusa.git --recursive

참고: --recursive 옵션을 잊어버리면 git 하위 모듈로 관리되는 rules 폴더가 복제되지 않습니다.

git pull --recurse-submodules 사용하거나 다음 명령을 사용하여 rules 폴더를 동기화하고 최신 Hayabusa 규칙을 얻을 수 있습니다.

hayabusa.exe update-rules

업데이트가 실패하면 rules 폴더의 이름을 바꾸고 다시 시도해야 할 수도 있습니다.

주의: 업데이트 시 rules 폴더의 규칙 및 구성 파일은 hayabusa-rules 저장소의 최신 규칙 및 구성 파일로 대체됩니다. 기존 파일에 대한 모든 변경 사항은 덮어쓰게 되므로 업데이트하기 전에 편집하는 모든 파일을 백업해 두는 것이 좋습니다. level-tuning 사용하여 레벨 조정을 수행하는 경우 업데이트할 때마다 규칙 파일을 다시 조정하십시오. rules 폴더 내에 새 규칙을 추가하면 업데이트 시 해당 규칙을 덮어쓰거나 삭제 하지 않습니다 .

Rust가 설치되어 있으면 다음 명령을 사용하여 소스에서 컴파일할 수 있습니다.

참고: 컴파일하려면 일반적으로 최신 버전의 Rust가 필요합니다.

cargo build --release

메인 브랜치에서 불안정한 최신 버전을 다운로드하거나 릴리스 페이지에서 최신 안정 버전을 다운로드할 수 있습니다.

정기적으로 Rust를 업데이트하십시오:

rustup update stable

컴파일된 바이너리는 ./target/release 폴더에 출력됩니다.

컴파일하기 전에 최신 Rust 크레이트로 업데이트할 수 있습니다:

cargo update

업데이트 후 문제가 발생하면 알려주시기 바랍니다.

다음을 사용하여 64비트 Windows 시스템에서 32비트 바이너리를 만들 수 있습니다.

rustup install stable-i686-pc-windows-msvc
rustup target add i686-pc-windows-msvc
rustup run stable-i686-pc-windows-msvc cargo build --release

경고: 새로운 안정 버전의 Rust가 나올 때마다 반드시 rustup install stable-i686-pc-windows-msvc 실행하세요. rustup update stable 크로스 컴파일을 위해 컴파일러를 업데이트하지 않고 빌드 오류가 발생할 수 있기 때문입니다.

openssl에 대한 컴파일 오류가 발생하면 Homebrew를 설치한 후 다음 패키지를 설치해야 합니다.

brew install pkg-config
brew install openssl

openssl에 대한 컴파일 오류가 발생하면 다음 패키지를 설치해야 합니다.

Ubuntu 기반 배포판:

sudo apt install libssl-dev

Fedora 기반 배포판:

sudo yum install openssl-devel

Linux OS에서는 먼저 대상을 설치합니다.

rustup install stable-x86_64-unknown-linux-musl
rustup target add x86_64-unknown-linux-musl

다음으로 컴파일:

cargo build --release --target=x86_64-unknown-linux-musl

경고: 새로운 안정 버전의 Rust가 나올 때마다 반드시 rustup install stable-x86_64-unknown-linux-musl 실행하세요. rustup update stable 크로스 컴파일을 위해 컴파일러를 업데이트하지 않고 빌드 오류가 발생할 수 있기 때문입니다.

MUSL 바이너리는 ./target/x86_64-unknown-linux-musl/release/ 디렉터리에 생성됩니다. MUSL 바이너리는 GNU 바이너리보다 약 15% 느리지만 다양한 Linux 버전 및 배포판에 걸쳐 이식성이 더 뛰어납니다.

감지 서명에 mimikatz 및 의심스러운 PowerShell 명령과 같은 키워드가 있으므로 hayabusa를 실행하려고 할 때 또는 .yml 규칙을 다운로드할 때 안티 바이러스 또는 EDR 제품으로부터 경고를 받을 수 있습니다. 이는 거짓 긍정이므로 하야부사가 실행될 수 있도록 보안 제품에서 제외를 구성해야 합니다. 악성 코드나 공급망 공격이 걱정된다면 하야부사 소스 코드를 확인하고 바이너리를 직접 컴파일하시기 바랍니다.

특히 Windows Defender의 실시간 보호로 인해 재부팅 후 처음 실행 시 런타임이 느려질 수 있습니다. 실시간 보호를 일시적으로 끄거나 하야부사 런타임 디렉터리에 제외 항목을 추가하면 이를 방지할 수 있습니다. (이 작업을 수행하기 전에 보안 위험을 고려하십시오.)

명령/PowerShell 프롬프트 또는 Windows 터미널에서 적절한 32비트 또는 64비트 Windows 바이너리를 실행하면 됩니다.

Windows에서 내장된 명령 또는 PowerShell 프롬프트를 사용할 때 파일 또는 디렉터리 경로에 공백이 있으면 하야부사가 .evtx 파일을 로드할 수 없다는 오류가 나타날 수 있습니다. .evtx 파일을 올바르게 로드하려면 다음을 수행해야 합니다.

1. 파일 또는 디렉터리 경로를 큰따옴표로 묶습니다.
2. 디렉터리 경로인 경우 마지막 문자에 백슬래시를 포함하지 않도록 하세요.

먼저 바이너리를 실행 가능하게 만들어야 합니다.

chmod +x ./hayabusa

그런 다음 Hayabusa 루트 디렉터리에서 실행합니다.

./hayabusa

Terminal 또는 iTerm2에서 먼저 바이너리를 실행 가능하게 만들어야 합니다.

chmod +x ./hayabusa

그런 다음 Hayabusa 루트 디렉터리에서 실행해 보세요.

./hayabusa

최신 버전의 macOS에서 실행하려고 하면 다음 보안 오류가 나타날 수 있습니다.

"취소"를 클릭한 후 시스템 환경설정에서 "보안 및 개인정보 보호"를 열고 일반 탭에서 "항상 허용"을 클릭하세요.

그 후에 다시 실행해 보세요.

./hayabusa

아래와 같은 경고창이 나오므로 "열기"를 눌러주세요.

이제 하야부사를 실행할 수 있습니다.

• computer-metrics : 컴퓨터 이름을 기준으로 이벤트 수를 인쇄합니다.
• eid-metrics : 이벤트 ID를 기준으로 이벤트 수와 비율을 인쇄합니다.
• logon-summary : 로그온 이벤트 요약을 인쇄합니다.
• pivot-keywords-list : 피벗할 의심스러운 키워드 목록을 인쇄합니다.
• search : 키워드 또는 정규식으로 모든 이벤트를 검색합니다.

• csv-timeline : 타임라인을 CSV 형식으로 저장합니다.
• json-timeline : 타임라인을 JSON/JSONL 형식으로 저장합니다.
• level-tuning : 경고 level 을 맞춤 조정합니다.
• list-profiles : 사용 가능한 출력 프로필을 나열합니다.
• set-default-profile : 기본 프로필을 변경합니다.
• update-rules : 규칙을 hayabusa-rules GitHub 저장소의 최신 규칙과 동기화합니다.

• help : 이 메시지 또는 주어진 하위 명령의 도움말을 인쇄합니다.
• list-contributors : 기여자 목록을 인쇄합니다.

computer-metrics 명령어를 사용하면 필드에 정의된 각 컴퓨터에 따른 이벤트 수를 확인할 수 있습니다. 이벤트를 원래 컴퓨터로 분리하기 위해 Computer 필드에만 완전히 의존할 수는 없다는 점에 유의하십시오. Windows 11에서는 이벤트 로그에 저장할 때 완전히 다른 Computer 이름을 사용하는 경우가 있습니다. 또한 Windows 10에서는 Computer 이름을 모두 소문자로 기록하는 경우도 있습니다. 이 명령은 탐지 규칙을 사용하지 않으므로 모든 이벤트를 분석합니다. 이는 가장 많은 로그가 있는 컴퓨터를 빠르게 확인하기 위해 실행하는 좋은 명령입니다. 이 정보를 사용하면 타임라인을 생성할 때 --include-computer 또는 --exclude-computer 옵션을 사용하여 컴퓨터에 따라 여러 타임라인을 생성하거나 특정 컴퓨터의 이벤트를 제외함으로써 타임라인 생성을 더욱 효율적으로 만들 수 있습니다.

 Usage: computer-metrics  [OPTIONS]

Input:
  -d, --directory   Directory of multiple .evtx files
  -f, --file       File path to one .evtx file
  -l, --live-analysis    Analyze the local C:WindowsSystem32winevtLogs folder

General Options:
  -C, --clobber                        Overwrite files when saving
  -h, --help                           Show the help menu
  -J, --JSON-input                     Scan JSON formatted logs instead of .evtx (.json or .jsonl)
  -Q, --quiet-errors                   Quiet errors mode: do not save error logs
  -x, --recover-records                Carve evtx records from slack space (default: disabled)
  -c, --rules-config              Specify custom rule config directory (default: ./rules/config)
      --target-file-ext   Specify additional evtx file extensions (ex: evtx_data)
  -t, --threads                Number of threads (default: optimal number for performance)

Filtering:
      --timeline-offset   Scan recent events based on an offset (ex: 1y, 3M, 30d, 24h, 30m)

Output:
  -o, --output   Save the results in CSV format (ex: computer-metrics.csv)

Display Settings:
      --no-color  Disable color output
  -q, --quiet     Quiet mode: do not display the launch banner
  -v, --verbose   Output verbose information

• 디렉터리에서 컴퓨터 이름 메트릭 인쇄: hayabusa.exe computer-metrics -d ../logs
• 결과를 CSV 파일로 저장: hayabusa.exe computer-metrics -d ../logs -o computer-metrics.csv

eid-metrics 명령을 사용하면 채널별로 구분된 이벤트 ID( 필드)의 총 수와 비율을 인쇄할 수 있습니다. 이 명령은 탐지 규칙을 사용하지 않으므로 모든 이벤트를 검사합니다.

 Usage: eid-metrics  [OPTIONS]

Input:
  -d, --directory   Directory of multiple .evtx files
  -f, --file       File path to one .evtx file
  -l, --live-analysis    Analyze the local C:WindowsSystem32winevtLogs folder

General Options:
  -C, --clobber                        Overwrite files when saving
  -h, --help                           Show the help menu
  -J, --JSON-input                     Scan JSON formatted logs instead of .evtx (.json or .jsonl)
  -Q, --quiet-errors                   Quiet errors mode: do not save error logs
  -x, --recover-records                Carve evtx records from slack space (default: disabled)
  -c, --rules-config              Specify custom rule config directory (default: ./rules/config)
      --target-file-ext   Specify additional evtx file extensions (ex: evtx_data)
  -t, --threads                Number of threads (default: optimal number for performance)

Filtering:
      --exclude-computer   Do not scan specified computer names (ex: ComputerA) (ex: ComputerA,ComputerB)
      --include-computer   Scan only specified computer names (ex: ComputerA) (ex: ComputerA,ComputerB)
      --timeline-offset         Scan recent events based on an offset (ex: 1y, 3M, 30d, 24h, 30m)

Output:
  -o, --output   Save the Metrics in CSV format (ex: metrics.csv)

Display Settings:
      --no-color  Disable color output
  -q, --quiet     Quiet mode: do not display the launch banner
  -v, --verbose   Output verbose information

Time Format:
      --European-time     Output timestamp in European time format (ex: 22-02-2022 22:00:00.123 +02:00)
      --ISO-8601          Output timestamp in ISO-8601 format (ex: 2022-02-22T10:10:10.1234567Z) (Always UTC)
      --RFC-2822          Output timestamp in RFC 2822 format (ex: Fri, 22 Feb 2022 22:00:00 -0600)
      --RFC-3339          Output timestamp in RFC 3339 format (ex: 2022-02-22 22:00:00.123456-06:00)
      --US-military-time  Output timestamp in US military time format (ex: 02-22-2022 22:00:00.123 -06:00)
      --US-time           Output timestamp in US time format (ex: 02-22-2022 10:00:00.123 PM -06:00)
  -U, --UTC               Output time in UTC format (default: local time)

• 단일 파일에서 이벤트 ID 메트릭 인쇄: hayabusa.exe eid-metrics -f Security.evtx
• 디렉터리에서 이벤트 ID 메트릭을 인쇄합니다: hayabusa.exe eid-metrics -d ../logs
• 결과를 CSV 파일에 저장: hayabusa.exe eid-metrics -f Security.evtx -o eid-metrics.csv

채널, 이벤트 ID 및 이벤트 제목은 rules/config/channel_eid_info.txt 에 정의되어 있습니다.

예:

 Channel,EventID,EventTitle
Microsoft-Windows-Sysmon/Operational,1,Process Creation.
Microsoft-Windows-Sysmon/Operational,2,File Creation Timestamp Changed. (Possible Timestomping)
Microsoft-Windows-Sysmon/Operational,3,Network Connection.
Microsoft-Windows-Sysmon/Operational,4,Sysmon Service State Changed.

logon-summary 명령을 사용하면 로그온 정보 요약(로그온 사용자 이름, 로그온 성공 및 실패 횟수)을 출력할 수 있습니다. -f 사용하여 하나의 evtx 파일에 대한 로그온 정보를 표시하거나 -d 옵션을 사용하여 여러 evtx 파일에 대한 로그온 정보를 표시할 수 있습니다.

 Usage: logon-summary  [OPTIONS]

Input:
  -d, --directory   Directory of multiple .evtx files
  -f, --file       File path to one .evtx file
  -l, --live-analysis    Analyze the local C:WindowsSystem32winevtLogs folder

General Options:
  -C, --clobber                        Overwrite files when saving
  -h, --help                           Show the help menu
  -J, --JSON-input                     Scan JSON formatted logs instead of .evtx (.json or .jsonl)
  -Q, --quiet-errors                   Quiet errors mode: do not save error logs
  -x, --recover-records                Carve evtx records from slack space (default: disabled)
  -c, --rules-config              Specify custom rule config directory (default: ./rules/config)
      --target-file-ext   Specify additional evtx file extensions (ex: evtx_data)
  -t, --threads                Number of threads (default: optimal number for performance)

Filtering:
      --exclude-computer   Do not scan specified computer names (ex: ComputerA) (ex: ComputerA,ComputerB)
      --include-computer   Scan only specified computer names (ex: ComputerA) (ex: ComputerA,ComputerB)
      --timeline-end              End time of the event logs to load (ex: "2022-02-22 23:59:59 +09:00")
      --timeline-offset         Scan recent events based on an offset (ex: 1y, 3M, 30d, 24h, 30m)
      --timeline-start            Start time of the event logs to load (ex: "2020-02-22 00:00:00 +09:00")

Output:
  -o, --output   Save the logon summary to two CSV files (ex: -o logon-summary)

Display Settings:
      --no-color  Disable color output
  -q, --quiet     Quiet mode: do not display the launch banner
  -v, --verbose   Output verbose information

Time Format:
      --European-time     Output timestamp in European time format (ex: 22-02-2022 22:00:00.123 +02:00)
      --ISO-8601          Output timestamp in ISO-8601 format (ex: 2022-02-22T10:10:10.1234567Z) (Always UTC)
      --RFC-2822          Output timestamp in RFC 2822 format (ex: Fri, 22 Feb 2022 22:00:00 -0600)
      --RFC-3339          Output timestamp in RFC 3339 format (ex: 2022-02-22 22:00:00.123456-06:00)
      --US-military-time  Output timestamp in US military time format (ex: 02-22-2022 22:00:00.123 -06:00)
      --US-time           Output timestamp in US time format (ex: 02-22-2022 10:00:00.123 PM -06:00)
  -U, --UTC               Output time in UTC format (default: local time)

• 로그온 요약 인쇄: hayabusa.exe logon-summary -f Security.evtx
• 로그온 요약 결과 저장: hayabusa.exe logon-summary -d ../logs -o logon-summary.csv

pivot-keywords-list 명령을 사용하면 고유한 피벗 키워드 목록을 생성하여 비정상적인 사용자, 호스트 이름, 프로세스 등을 신속하게 식별하고 이벤트를 상호 연관시킬 수 있습니다.

중요: 기본적으로 hayabusa는 모든 이벤트(정보용 이상)의 결과를 반환하므로 pivot-keywords-list 명령을 -m, --min-level 옵션과 결합하는 것이 좋습니다. 예를 들어 -m critical 사용하여 critical 경고에서만 키워드를 생성하는 것으로 시작한 다음 -m high , -m medium 등을 계속 사용합니다. 결과에는 많은 일반 이벤트와 일치하는 공통 키워드가 있을 가능성이 높습니다. 따라서 수동으로 결과를 확인하고 단일 파일에 고유 키워드 목록을 생성한 후 grep -f keywords.txt timeline.csv 와 같은 명령을 사용하여 의심스러운 활동에 대한 제한된 타임라인을 생성할 수 있습니다.

 Usage: pivot-keywords-list  [OPTIONS]

Input:
  -d, --directory   Directory of multiple .evtx files
  -f, --file       File path to one .evtx file
  -l, --live-analysis    Analyze the local C:WindowsSystem32winevtLogs folder

General Options:
  -C, --clobber                        Overwrite files when saving
  -h, --help                           Show the help menu
  -J, --JSON-input                     Scan JSON formatted logs instead of .evtx (.json or .jsonl)
  -w, --no-wizard                      Do not ask questions. Scan for all events and alerts
  -Q, --quiet-errors                   Quiet errors mode: do not save error logs
  -x, --recover-records                Carve evtx records from slack space (default: disabled)
  -c, --rules-config              Specify custom rule config directory (default: ./rules/config)
      --target-file-ext   Specify additional evtx file extensions (ex: evtx_data)
  -t, --threads                Number of threads (default: optimal number for performance)

Filtering:
  -E, --EID-filter                      Scan only common EIDs for faster speed (./rules/config/target_event_IDs.txt)
  -D, --enable-deprecated-rules         Enable rules with a status of deprecated
  -n, --enable-noisy-rules              Enable rules set to noisy (./rules/config/noisy_rules.txt)
  -u, --enable-unsupported-rules        Enable rules with a status of unsupported
  -e, --exact-level              Only load rules with a specific level (informational, low, medium, high, critical)
      --exclude-computer   Do not scan specified computer names (ex: ComputerA) (ex: ComputerA,ComputerB)
      --exclude-eid             Do not scan specific EIDs for faster speed (ex: 1) (ex: 1,4688)
      --exclude-status       Do not load rules according to status (ex: experimental) (ex: stable,test)
      --exclude-tag             Do not load rules with specific tags (ex: sysmon)
      --include-computer   Scan only specified computer names (ex: ComputerA) (ex: ComputerA,ComputerB)
      --include-eid             Scan only specified EIDs for faster speed (ex: 1) (ex: 1,4688)
      --include-status       Only load rules with specific status (ex: experimental) (ex: stable,test)
      --include-tag             Only load rules with specific tags (ex: attack.execution,attack.discovery)
  -m, --min-level                Minimum level for rules to load (default: informational)
      --timeline-end              End time of the event logs to load (ex: "2022-02-22 23:59:59 +09:00")
      --timeline-offset         Scan recent events based on an offset (ex: 1y, 3M, 30d, 24h, 30m)
      --timeline-start            Start time of the event logs to load (ex: "2020-02-22 00:00:00 +09:00")

Output:
  -o, --output   Save pivot words to separate files (ex: PivotKeywords)

Display Settings:
      --no-color  Disable color output
  -q, --quiet     Quiet mode: do not display the launch banner
  -v, --verbose   Output verbose information

• 화면에 피벗 키워드 출력: hayabusa.exe pivot-keywords-list -d ../logs -m critical
• 중요한 알림에서 피벗 키워드 목록을 만들고 결과를 저장합니다. (결과는 keywords-Ip Addresses.txt , keywords-Users.txt 등에 저장됩니다...):

 hayabusa.exe pivot-keywords-list -d ../logs -m critical -o keywords`

./rules/config/pivot_keywords.txt 편집하여 검색하려는 키워드를 사용자 정의할 수 있습니다. 이 페이지는 기본 설정입니다.

형식은 KeywordName.FieldName .필드 이름입니다. 예를 들어, Users 목록을 생성할 때 hayabusa는 SubjectUserName , TargetUserName 및 User 필드의 모든 값을 나열합니다.

search 명령을 사용하면 모든 이벤트에 대한 키워드 검색이 가능합니다. (하야부사 탐지 결과뿐만 아니라) 이는 하야부사에서 탐지하지 못한 사건에 증거가 있는지 판단하는 데 유용합니다.

 Usage: hayabusa.exe search  <--keywords "" OR --regex ""> [OPTIONS]

Display Settings:
      --no-color  Disable color output
  -q, --quiet     Quiet mode: do not display the launch banner
  -v, --verbose   Output verbose information

General Options:
  -C, --clobber                        Overwrite files when saving
  -h, --help                           Show the help menu
  -Q, --quiet-errors                   Quiet errors mode: do not save error logs
  -x, --recover-records                Carve evtx records from slack space (default: disabled)
  -c, --rules-config              Specify custom rule config directory (default: ./rules/config)
      --target-file-ext   Specify additional evtx file extensions (ex: evtx_data)
  -t, --threads                Number of threads (default: optimal number for performance)

Input:
  -d, --directory   Directory of multiple .evtx files
  -f, --file       File path to one .evtx file
  -l, --live-analysis    Analyze the local C:WindowsSystem32winevtLogs folder

Filtering:
  -a, --and-logic                 Search keywords with AND logic (default: OR)
  -F, --filter         Filter by specific field(s)
  -i, --ignore-case               Case-insensitive keyword search
  -k, --keyword       Search by keyword(s)
  -r, --regex              Search by regular expression
      --timeline-offset   Scan recent events based on an offset (ex: 1y, 3M, 30d, 24h, 30m)

Output:
  -J, --JSON-output    Save the search results in JSON format (ex: -J -o results.json)
  -L, --JSONL-output   Save the search results in JSONL format (ex: -L -o results.jsonl)
  -M, --multiline      Output event field information in multiple rows for CSV output
  -o, --output   Save the search results in CSV format (ex: search.csv)

Time Format:
      --European-time     Output timestamp in European time format (ex: 22-02-2022 22:00:00.123 +02:00)
      --ISO-8601          Output timestamp in ISO-8601 format (ex: 2022-02-22T10:10:10.1234567Z) (Always UTC)
      --RFC-2822          Output timestamp in RFC 2822 format (ex: Fri, 22 Feb 2022 22:00:00 -0600)
      --RFC-3339          Output timestamp in RFC 3339 format (ex: 2022-02-22 22:00:00.123456-06:00)
      --US-military-time  Output timestamp in US military time format (ex: 02-22-2022 22:00:00.123 -06:00)
      --US-time           Output timestamp in US time format (ex: 02-22-2022 10:00:00.123 PM -06:00)
  -U, --UTC               Output time in UTC format (default: local time)

• mimikatz 키워드에 대해 ../hayabusa-sample-evtx 디렉토리를 검색하십시오.

 hayabusa.exe search -d ../hayabusa-sample-evtx -k "mimikatz"

참고: mimikatz 데이터의 어느 곳에서든 발견되면 키워드가 일치합니다. 정확히 일치하는 것은 아닙니다.

• ../hayabusa-sample-evtx 디렉토리에서 mimikatz 또는 kali 키워드를 검색하십시오.

 hayabusa.exe search -d ../hayabusa-sample-evtx -k "mimikatz" -k "kali"

• ../hayabusa-sample-evtx 디렉토리에서 mimikatz 키워드를 검색하고 대소문자를 무시합니다.

 hayabusa.exe search -d ../hayabusa-sample-evtx -k "mimikatz" -i

• 정규식을 사용하여 ../hayabusa-sample-evtx 디렉토리에서 IP 주소를 검색합니다.

 hayabusa.exe search -d ../hayabusa-sample-evtx -r "(?:[0-9]{1,3}.){3}[0-9]{1,3}"

• ../hayabusa-sample-evtx 디렉터리를 검색하고 WorkstationName 필드가 kali 인 모든 이벤트를 표시합니다.

 hayabusa.exe search -d ../hayabusa-sample-evtx -r ".*" -F WorkstationName:"kali"

참고: .* 모든 이벤트에서 일치하는 정규식입니다.

./rules/config/channel_abbreviations.txt : 채널 이름 및 해당 약어의 매핑입니다.

이제 csv-timeline 및 json-timeline 명령에는 기본적으로 스캔 마법사가 활성화되어 있습니다. 이는 사용자가 필요와 선호도에 따라 활성화하려는 탐지 규칙을 쉽게 선택할 수 있도록 돕기 위한 것입니다. 로드할 탐지 규칙 세트는 Sigma 프로젝트의 공식 목록을 기반으로 합니다. 자세한 내용은 이 블로그 게시물에 설명되어 있습니다. -w, --no-wizard 옵션을 추가하면 쉽게 마법사를 끄고 전통적인 방식으로 하야부사를 사용할 수 있습니다.

core 규칙 세트를 사용하면 상태가 test 또는 stable 이고 수준이 high 또는 critical 수준인 규칙을 활성화할 수 있습니다. 이는 신뢰도와 관련성이 높은 고품질 규칙이므로 오탐지가 많이 발생해서는 안 됩니다. 규칙 상태는 test 또는 stable 입니다. 이는 6개월 이상 오탐지가 보고되지 않았음을 의미합니다. 규칙은 공격자 기술, 일반적인 의심스러운 활동 또는 악의적인 행동과 일치합니다. --exclude-status deprecated,unsupported,experimental --min-level high 옵션을 사용하는 것과 동일합니다.

core+ 규칙 세트는 상태가 test 또는 stable 이고 수준이 medium 이상인 규칙을 활성화합니다. medium 규칙은 특정 애플리케이션, 합법적인 사용자 행동 또는 조직의 스크립트가 일치할 수 있으므로 추가 조정이 필요한 경우가 가장 많습니다. --exclude-status deprecated,unsupported,experimental --min-level medium 옵션을 사용하는 것과 동일합니다.

core++ 규칙 세트는 experimental , test 또는 stable 상태와 medium 이상 수준의 규칙을 활성화합니다. 이러한 규칙은 최첨단입니다. 이는 SigmaHQ 프로젝트에서 사용할 수 있는 기본 evtx 파일과 비교하여 검증되고 여러 감지 엔지니어가 검토합니다. 그 외에는 처음에는 거의 테스트되지 않았습니다. 더 높은 오탐 임계값을 관리하는 대신 가능한 한 빨리 위협을 감지하려면 이 방법을 사용하십시오. --exclude-status deprecated,unsupported --min-level medium 옵션을 사용하는 것과 동일합니다.

Emerging Threats (ET) 규칙 세트는 detection.emerging_threats 태그가 있는 규칙을 활성화합니다. 이러한 규칙은 특정 위협을 대상으로 하며 아직 정보가 많지 않은 현재 위협에 특히 유용합니다. 이러한 규칙에는 오탐지가 많아서는 안 되지만 시간이 지남에 따라 관련성이 감소합니다. 이러한 규칙이 활성화되지 않은 경우 --exclude-tag detection.emerging_threats 옵션을 사용하는 것과 동일합니다. 마법사 없이 하야부사를 전통적으로 실행하는 경우 이러한 규칙이 기본적으로 포함됩니다.

Threat Hunting (TH) 규칙 세트는 detection.threat_hunting 태그가 있는 규칙을 활성화합니다. 이러한 규칙은 알려지지 않은 악성 활동을 탐지할 수 있지만 일반적으로 오탐지가 더 많습니다. 이러한 규칙이 활성화되지 않은 경우 --exclude-tag detection.threat_hunting 옵션을 사용하는 것과 동일합니다. 마법사 없이 하야부사를 전통적으로 실행하는 경우 이러한 규칙이 기본적으로 포함됩니다.

Hayabusa v2.16.0부터 .evtx 파일 및 .yml 규칙을 로드할 때 채널 기반 필터를 활성화합니다. 필요한 것만 로드하여 스캔을 최대한 효율적으로 만드는 것이 목적입니다. 단일 이벤트 로그에 여러 공급자가 있을 수 있지만 단일 evtx 파일 내에 여러 채널을 갖는 것은 일반적이지 않습니다. (우리가 본 유일한 경우는 누군가가 샘플-evtx 프로젝트를 위해 두 개의 서로 다른 evtx 파일을 인위적으로 병합한 경우입니다.) 지정된 모든 .evtx 파일의 첫 번째 레코드에서 Channel 필드를 먼저 확인하여 이를 유리하게 사용할 수 있습니다. 스캔할 수 있습니다. 또한 어떤 .yml 규칙이 규칙의 Channel 필드에 지정된 채널을 사용하는지 확인합니다. 이 두 목록을 사용하면 실제로 .evtx 파일 내에 존재하는 채널을 사용하는 규칙만 로드됩니다.

예를 들어 사용자가 Security.evtx 검사하려는 경우 Channel: Security 지정하는 규칙만 사용됩니다. 다른 탐지 규칙(예: Application 로그에서 이벤트만 찾는 규칙 등)을 로드하는 것은 의미가 없습니다. 채널 필드(예: Channel: Security )는 원래 Sigma 규칙 내에 명시적으로 정의되지 않습니다. Sigma 규칙의 경우 채널 및 이벤트 ID 필드는 logsource 아래의 service 및 category 필드를 사용하여 암시적으로 정의됩니다. (예: service: security ) hayabusa-rules 저장소에서 Sigma 규칙을 관리할 때 logsource 필드를 역추상화하고 채널 및 이벤트 ID 필드를 명시적으로 정의합니다. 여기서는 이 작업을 수행하는 방법과 이유를 자세히 설명합니다.

현재 Channel 정의되지 않고 모든 .evtx 파일을 검사하도록 고안된 탐지 규칙은 두 개뿐입니다.

• 가능한 숨겨진 쉘코드
• 미미카츠 사용

이 두 가지 규칙을 사용하고 로드된 .evtx 파일에 대해 모든 규칙을 검사하려면 csv-timeline 및 json-timeline 명령에 -A, --enable-all-rules 옵션을 추가해야 합니다. 벤치마크에서 규칙 필터링은 일반적으로 검사되는 파일에 따라 속도가 20%~10배 향상되며 물론 메모리도 덜 사용합니다.

.evtx 파일을 로드할 때도 채널 필터링이 사용됩니다. 예를 들어, Security 채널을 사용하여 이벤트를 찾는 규칙을 지정하는 경우 Security 로그에 없는 .evtx 파일을 로드할 필요가 없습니다. 벤치마크에서 이는 일반 스캔의 경우 약 10%의 속도 이점을 제공하고 단일 규칙을 사용한 스캔의 경우 최대 60% 이상의 성능 향상을 제공합니다. 단일 .evtx 파일 내에서 여러 채널이 사용되고 있다고 확신하는 경우(예: 누군가가 여러 .evtx 파일을 병합하는 도구를 사용한 경우) -a, --scan-all-evtx-files 사용하여 이 필터링을 비활성화합니다. csv-timeline 및 json-timeline 명령의 옵션입니다.

참고: 채널 필터링은 .evtx 파일에서만 작동하며 -J, --json-input 사용하여 JSON 파일에서 이벤트 로그를 로드하고 -A 또는 -a 도 지정하려고 하면 오류가 발생합니다.

csv-timeline 명령은 CSV 형식의 이벤트 포렌식 타임라인을 생성합니다.

 Usage: csv-timeline  [OPTIONS]

Input:
  -d, --directory   Directory of multiple .evtx files
  -f, --file       File path to one .evtx file
  -l, --live-analysis    Analyze the local C:WindowsSystem32winevtLogs folder

General Options:
  -C, --clobber                        Overwrite files when saving
  -h, --help                           Show the help menu
  -J, --JSON-input                     Scan JSON formatted logs instead of .evtx (.json or .jsonl)
  -s, --sort-events                    Sort events before saving the file. (warning: this uses much more memory!)
  -w, --no-wizard                      Do not ask questions. Scan for all events and alerts
  -Q, --quiet-errors                   Quiet errors mode: do not save error logs
  -x, --recover-records                Carve evtx records from slack space (default: disabled)
  -r, --rules                Specify a custom rule directory or file (default: ./rules)
  -c, --rules-config              Specify custom rule config directory (default: ./rules/config)
      --target-file-ext   Specify additional evtx file extensions (ex: evtx_data)
  -t, --threads                Number of threads (default: optimal number for performance)

Filtering:
  -E, --EID-filter                      Scan only common EIDs for faster speed (./rules/config/target_event_IDs.txt)
  -D, --enable-deprecated-rules         Enable rules with a status of deprecated
  -n, --enable-noisy-rules              Enable rules set to noisy (./rules/config/noisy_rules.txt)
  -u, --enable-unsupported-rules        Enable rules with a status of unsupported
  -e, --exact-level              Only load rules with a specific level (informational, low, medium, high, critical)
      --exclude-category   Do not load rules with specified logsource categories (ex: process_creation,pipe_created)
      --exclude-computer   Do not scan specified computer names (ex: ComputerA) (ex: ComputerA,ComputerB)
      --exclude-eid             Do not scan specific EIDs for faster speed (ex: 1) (ex: 1,4688)
      --exclude-status       Do not load rules according to status (ex: experimental) (ex: stable,test)
      --exclude-tag             Do not load rules with specific tags (ex: sysmon)
      --include-category   Only load rules with specified logsource categories (ex: process_creation,pipe_created)
      --include-computer   Scan only specified computer names (ex: ComputerA) (ex: ComputerA,ComputerB)
      --include-eid             Scan only specified EIDs for faster speed (ex: 1) (ex: 1,4688)
      --include-status       Only load rules with specific status (ex: experimental) (ex: stable,test)
      --include-tag             Only load rules with specific tags (ex: attack.execution,attack.discovery)
  -m, --min-level                Minimum level for rules to load (default: informational)
  -P, --proven-rules                    Scan with only proven rules for faster speed (./rules/config/proven_rules.txt)
      --timeline-end              End time of the event logs to load (ex: "2022-02-22 23:59:59 +09:00")
      --timeline-offset         Scan recent events based on an offset (ex: 1y, 3M, 30d, 24h, 30m)
      --timeline-start            Start time of the event logs to load (ex: "2020-02-22 00:00:00 +09:00")

Output:
  -G, --GeoIP        Add GeoIP (ASN, city, country) info to IP addresses
  -H, --HTML-report            Save Results Summary details to an HTML report (ex: results.html)
  -M, --multiline                    Output event field information in multiple rows
  -F, --no-field-data-mapping        Disable field data mapping
      --no-pwsh-field-extraction     Disable field extraction of PowerShell classic logs
  -o, --output                 Save the timeline in CSV format (ex: results.csv)
  -p, --profile             Specify output profile
  -R, --remove-duplicate-data        Duplicate field data will be replaced with "DUP"
  -X, --remove-duplicate-detections  Remove duplicate detections (default: disabled)

Display Settings:
      --no-color            Disable color output
  -N, --no-summary          Do not display Results Summary for faster speed
  -q, --quiet               Quiet mode: do not display the launch banner
  -v, --verbose             Output verbose information
  -T, --visualize-timeline  Output event frequency timeline (terminal needs to support unicode)

Time Format:
      --European-time     Output timestamp in European time format (ex: 22-02-2022 22:00:00.123 +02:00)
      --ISO-8601          Output timestamp in ISO-8601 format (ex: 2022-02-22T10:10:10.1234567Z) (Always UTC)
      --RFC-2822          Output timestamp in RFC 2822 format (ex: Fri, 22 Feb 2022 22:00:00 -0600)
      --RFC-3339          Output timestamp in RFC 3339 format (ex: 2022-02-22 22:00:00.123456-06:00)
      --US-military-time  Output timestamp in US military time format (ex: 02-22-2022 22:00:00.123 -06:00)
      --US-time           Output timestamp in US time format (ex: 02-22-2022 10:00:00.123 PM -06:00)
  -U, --UTC               Output time in UTC format (default: local time)

• 기본 standard 프로필을 사용하여 하나의 Windows 이벤트 로그 파일에 대해 hayabusa를 실행합니다.

 hayabusa.exe csv-timeline -f eventlog.evtx

• 자세한 프로필이 포함된 여러 Windows 이벤트 로그 파일이 있는 샘플-evtx 디렉터리에 대해 hayabusa를 실행합니다.

 hayabusa.exe csv-timeline -d .hayabusa-sample-evtx -p verbose

• LibreOffice, Timeline Explorer, Elastic Stack 등을 사용하여 추가 분석을 위해 단일 CSV 파일로 내보내고 모든 필드 정보를 포함합니다(경고: super-verbose 프로필을 사용하면 파일 출력 크기가 훨씬 커집니다!).

 hayabusa.exe csv-timeline -d .hayabusa-sample-evtx -o results.csv -p super-verbose

• EID(이벤트 ID) 필터를 활성화합니다.

참고: EID 필터를 활성화하면 테스트에서 분석 속도가 약 10-15% 향상되지만 경고가 누락될 가능성이 있습니다.

 hayabusa.exe csv-timeline -E -d .hayabusa-sample-evtx -o results.csv

• hayabusa 규칙만 실행하십시오(기본값은 -r .rules 의 모든 규칙을 실행하는 것입니다):

 hayabusa.exe csv-timeline -d .hayabusa-sample-evtx -r .ruleshayabusa -o results.csv -w

• Windows에서 기본적으로 활성화된 로그에 대해서만 hayabusa 규칙을 실행하세요.

 hayabusa.exe csv-timeline -d .hayabusa-sample-evtx -r .ruleshayabusabuiltin -o results.csv -w

• sysmon 로그에 대해서만 hayabusa 규칙을 실행하십시오.

 hayabusa.exe csv-timeline -d .hayabusa-sample-evtx -r .ruleshayabusasysmon -o results.csv -w

• 시그마 규칙만 실행하십시오.

 hayabusa.exe csv-timeline -d .hayabusa-sample-evtx -r .rulessigma -o results.csv -w

• 더 이상 사용되지 않는 규칙( deprecated status 로 표시된 규칙) 및 노이즈 규칙( 규칙 ID가 .rulesconfignoisy_rules.txt 에 나열되어 있는 규칙)을 활성화합니다.

참고: 최근에는 더 이상 사용되지 않는 규칙이 시그마 저장소의 별도 디렉토리에 있으므로 하야부사에는 더 이상 기본적으로 포함되지 않습니다. 따라서 더 이상 사용되지 않는 규칙을 활성화할 필요가 없을 것입니다.

 hayabusa.exe csv-timeline -d .hayabusa-sample-evtx --enable-noisy-rules --enable-deprecated-rules -o results.csv -w

• UTC 시간대의 로그온 및 출력을 분석하는 규칙만 실행하십시오.

 hayabusa.exe csv-timeline -d .hayabusa-sample-evtx -r .ruleshayabusabuiltinSecurityLogonLogoffLogon -U -o results.csv -w

• 라이브 Windows 시스템에서 실행하고(관리자 권한 필요) 경고(잠재적으로 악의적인 동작)만 감지합니다.

 hayabusa.exe csv-timeline -l -m low

• 자세한 정보를 인쇄합니다(처리하는 데 시간이 오래 걸리는 파일, 구문 분석 오류 등을 확인하는 데 유용함).

 hayabusa.exe csv-timeline -d .hayabusa-sample-evtx -v

• 자세한 출력 예:

로딩 규칙:

 Loaded rule: rules/sigma/builtin/deprecated/proc_creation_win_susp_run_folder.yml
Loaded rule: rules/sigma/builtin/deprecated/proc_creation_win_execution_mssql_xp_cmdshell_stored_procedure.yml
Loaded rule: rules/sigma/builtin/deprecated/proc_creation_win_susp_squirrel_lolbin.yml
Loaded rule: rules/sigma/builtin/win_alert_mimikatz_keywords.yml

스캔 중 오류:

 [ERROR] Failed to parse event file.
EventFile: ../logs/Microsoft-Rdms-UI%4Operational.evtx
Error: Failed to parse record number 58471

[ERROR] Failed to parse event file.
EventFile: ../logs/Microsoft-Rdms-UI%4Operational.evtx
Error: Failed to parse record number 58470

[ERROR] Failed to parse event file.
EventFile: ../logs/Microsoft-Windows-AppxPackaging%4Operational.evtx
Error: An error occurred while trying to serialize binary xml to output.

• Timesketch로 가져올 수 있는 CSV 형식으로 출력:

 hayabusa.exe csv-timeline -d ../hayabusa-sample-evtx --RFC-3339 -o timesketch-import.csv -p timesketch -U

• 조용한 오류 모드: 기본적으로 하야부사는 오류 메시지를 오류 로그 파일에 저장합니다. 오류 메시지를 저장하지 않으려면 -Q 추가하세요.

무료 GeoLite2 지리 위치 데이터를 사용하여 GeoIP(ASN 조직, 도시 및 국가) 정보를 SrcIP(소스 IP) 필드 및 TgtIP(대상 IP) 필드에 추가할 수 있습니다.

단계:

1. 먼저 여기에서 MaxMind 계정에 가입하세요.
2. 다운로드 페이지에서 3개의 .mmdb 파일을 다운로드하고 디렉터리에 저장합니다. 파일 이름은 GeoLite2-ASN.mmdb , GeoLite2-City.mmdb 및 GeoLite2-Country.mmdb 여야 합니다.
3. csv-timeline 또는 json-timeline 명령을 실행할 때 -G 옵션과 MaxMind 데이터베이스가 있는 디렉터리를 추가합니다.

• csv-timeline 사용하면 SrcASN , SrcCity , SrcCountry , TgtASN , TgtCity , TgtCountry 6개 열이 추가로 출력됩니다.

• json-timeline 이 사용되면 동일한 SrcASN , SrcCity , SrcCountry , TgtASN , TgtCity , TgtCountry 필드가 Details 개체에 추가되지만 정보가 포함된 경우에만 해당됩니다.

• SrcIP 또는 TgtIP 가 localhost( 127.0.0.1 , ::1 등...)인 경우 SrcASN 또는 TgtASN Local 로 출력됩니다.

• SrcIP 또는 TgtIP 개인 IP 주소( 10.0.0.0/8 , fe80::/10 등...)인 경우 SrcASN 또는 TgtASN Private 으로 출력됩니다.

GeoIP 데이터베이스에서 조회되는 소스 및 대상 IP 주소가 포함된 필드 이름은 rules/config/geoip_field_mapping.yaml 에 정의되어 있습니다. 필요한 경우이 목록에 추가 할 수 있습니다. 이 파일에는 IP 주소 정보를 추출 할 이벤트를 결정하는 필터 섹션도 있습니다.

Maxmind GeoIP 데이터베이스는 2 주마다 업데이트됩니다. 이러한 데이터베이스를 자동으로 업데이트하려면 Maxmind geoipupdate 도구를 여기에 설치할 수 있습니다.

MACOS에 대한 단계 :

1. brew install geoipupdate
2. /usr/local/etc/GeoIP.conf 편집 : Maxmind 웹 사이트에 로그인 한 후 작성한 AccountID 및 LicenseKey 넣으십시오. EditionIDs 라인에 EditionIDs GeoLite2-ASN GeoLite2-City GeoLite2-Country 가 말하십시오.
3. geoipupdate 실행하십시오.
4. GEOIP 정보를 추가하려면 -G /usr/local/var/GeoIP 추가하십시오.

Windows의 단계 :

1. 릴리스 페이지에서 최신 Windows Binary (예 : geoipupdate_4.10.0_windows_amd64.zip )를 다운로드하십시오.
2. 편집 ProgramDataMaxMind/GeoIPUpdateGeoIP.conf : maxmind 웹 사이트에 로그인 한 후 작성한 AccountID 와 LicenseKey 넣습니다. EditionIDs 라인에 EditionIDs GeoLite2-ASN GeoLite2-City GeoLite2-Country 가 말하십시오.
3. geoipupdate 실행 파일을 실행하십시오.

./rules/config/channel_abbreviations.txt : 채널 이름의 매핑 및 약어.

./rules/config/default_details.txt : 기본 필드 정보 ( %Details% 필드)에 대한 구성 파일을 출력 해야하는 경우 details: LINE이 규칙에 지정됩니다. 이것은 제공자 이름과 이벤트 ID를 기반으로합니다.

./rules/config/eventkey_alias.txt :이 파일에는 필드에 대한 짧은 이름 별명과 원래 장거리 필드 이름의 매핑이 있습니다.

예:

 InstanceID,Event.UserData.UMDFHostDeviceArrivalBegin.InstanceId
IntegrityLevel,Event.EventData.IntegrityLevel
IpAddress,Event.EventData.IpAddress

필드가 여기에 정의되지 않으면 Hayabusa는 이벤트에 따라 자동으로 필드에 대한 Event.EventData 확인합니다.

./rules/config/exclude_rules.txt :이 파일에는 사용에서 제외 될 규칙 ID 목록이 있습니다. 일반적으로 이것은 한 규칙이 다른 규칙을 대체했거나 규칙을 처음에는 사용할 수 없기 때문입니다. 방화벽 및 IDSE와 마찬가지로 서명 기반 도구에는 환경에 맞게 조정이 필요하므로 특정 규칙을 영구적으로 또는 일시적으로 제외해야 할 수도 있습니다. 규칙 ID (예 : 4fe151c2-ecf9-4fae-95ae-b88ec9c2fca6 )에 ./rules/config/exclude_rules.txt 를 추가 할 수 없거나 사용할 수없는 규칙을 무시하기 위해 추가 할 수 있습니다.

./rules/config/noisy_rules.txt :이 파일 기본적으로 비활성화되었지만 -n, --enable-noisy-rules 옵션을 사용하여 시끄러운 규칙을 활성화하여 활성화 할 수있는 규칙 ID 목록입니다. 이 규칙은 일반적으로 본질적으로 시끄 럽거나 잘못된 긍정적입니다.

./rules/config/target_event_IDs.txt : EID 필터가 활성화되면이 파일에 지정된 이벤트 ID 만 스캔됩니다. 기본적으로 Hayabusa는 모든 이벤트를 스캔하지만 성능을 향상 시키려면 -E, --EID-filter 옵션을 사용하십시오. 이로 인해 일반적으로 10 ~ 25%의 속도가 향상됩니다.

json-timeline 명령은 JSON 또는 JSONL 형식의 이벤트 타임 라인을 만듭니다. JSONL 로의 출력은 JSON보다 파일 크기가 더 빠르고 작은 파일 크기가 될 것이므로 Elastic Stack과 같은 다른 도구로 결과를 가져 오려면 좋습니다. 텍스트 편집기로 결과를 수동으로 분석하려면 JSON이 더 좋습니다. CSV 출력은 작은 타임 라인 (보통 2GB 미만)을 LibreOffice 또는 타임 라인 탐색기와 같은 도구로 가져 오는 데 좋습니다. JSON은 Details 필드가 더 쉽게 분석 할 수 있도록 jq 와 같은 도구를 사용하여 데이터 (대규모 결과 파일 포함)보다 자세한 분석에 가장 적합합니다. (CSV 출력에서, 모든 이벤트 로그 필드는 하나의 큰 Details 열에 있으며 데이터 정렬 등을 만듭니다 ... 더 어렵습니다.)

 Usage: json-timeline  [OPTIONS]

Input:
  -d, --directory   Directory of multiple .evtx files
  -f, --file       File path to one .evtx file
  -l, --live-analysis    Analyze the local C:WindowsSystem32winevtLogs folder

General Options:
  -C, --clobber                        Overwrite files when saving
  -h, --help                           Show the help menu
  -J, --JSON-input                     Scan JSON formatted logs instead of .evtx (.json or .jsonl)
  -s, --sort-events                    Sort events before saving the file. (warning: this uses much more memory!)
  -w, --no-wizard                      Do not ask questions. Scan for all events and alerts
  -Q, --quiet-errors                   Quiet errors mode: do not save error logs
  -x, --recover-records                Carve evtx records from slack space (default: disabled)
  -r, --rules                Specify a custom rule directory or file (default: ./rules)
  -c, --rules-config              Specify custom rule config directory (default: ./rules/config)
      --target-file-ext   Specify additional evtx file extensions (ex: evtx_data)
  -t, --threads                Number of threads (default: optimal number for performance)

Filtering:
  -E, --EID-filter                      Scan only common EIDs for faster speed (./rules/config/target_event_IDs.txt)
  -D, --enable-deprecated-rules         Enable rules with a status of deprecated
  -n, --enable-noisy-rules              Enable rules set to noisy (./rules/config/noisy_rules.txt)
  -u, --enable-unsupported-rules        Enable rules with a status of unsupported
  -e, --exact-level              Only load rules with a specific level (informational, low, medium, high, critical)
      --exclude-category   Do not load rules with specified logsource categories (ex: process_creation,pipe_created)
      --exclude-computer   Do not scan specified computer names (ex: ComputerA) (ex: ComputerA,ComputerB)
      --exclude-eid             Do not scan specific EIDs for faster speed (ex: 1) (ex: 1,4688)
      --exclude-status       Do not load rules according to status (ex: experimental) (ex: stable,test)
      --exclude-tag             Do not load rules with specific tags (ex: sysmon)
      --include-category   Only load rules with specified logsource categories (ex: process_creation,pipe_created)
      --include-computer   Scan only specified computer names (ex: ComputerA) (ex: ComputerA,ComputerB)
      --include-eid             Scan only specified EIDs for faster speed (ex: 1) (ex: 1,4688)
      --include-status       Only load rules with specific status (ex: experimental) (ex: stable,test)
      --include-tag             Only load rules with specific tags (ex: attack.execution,attack.discovery)
  -m, --min-level                Minimum level for rules to load (default: informational)
  -P, --proven-rules                    Scan with only proven rules for faster speed (./rules/config/proven_rules.txt)
      --timeline-end              End time of the event logs to load (ex: "2022-02-22 23:59:59 +09:00")
      --timeline-offset         Scan recent events based on an offset (ex: 1y, 3M, 30d, 24h, 30m)
      --timeline-start            Start time of the event logs to load (ex: "2020-02-22 00:00:00 +09:00")

Output:
  -G, --GeoIP        Add GeoIP (ASN, city, country) info to IP addresses
  -H, --HTML-report            Save Results Summary details to an HTML report (ex: results.html)
  -L, --JSONL-output                 Save the timeline in JSONL format (ex: -L -o results.jsonl)
  -F, --no-field-data-mapping        Disable field data mapping
      --no-pwsh-field-extraction     Disable field extraction of PowerShell classic logs
  -o, --output                 Save the timeline in JSON format (ex: results.json)
  -p, --profile             Specify output profile
  -R, --remove-duplicate-data        Duplicate field data will be replaced with "DUP"
  -X, --remove-duplicate-detections  Remove duplicate detections (default: disabled)

Display Settings:
      --no-color            Disable color output
  -N, --no-summary          Do not display Results Summary for faster speed
  -q, --quiet               Quiet mode: do not display the launch banner
  -v, --verbose             Output verbose information
  -T, --visualize-timeline  Output event frequency timeline (terminal needs to support unicode)

Time Format:
      --European-time     Output timestamp in European time format (ex: 22-02-2022 22:00:00.123 +02:00)
      --ISO-8601          Output timestamp in ISO-8601 format (ex: 2022-02-22T10:10:10.1234567Z) (Always UTC)
      --RFC-2822          Output timestamp in RFC 2822 format (ex: Fri, 22 Feb 2022 22:00:00 -0600)
      --RFC-3339          Output timestamp in RFC 3339 format (ex: 2022-02-22 22:00:00.123456-06:00)
      --US-military-time  Output timestamp in US military time format (ex: 02-22-2022 22:00:00.123 -06:00)
      --US-time           Output timestamp in US time format (ex: 02-22-2022 10:00:00.123 PM -06:00)
  -U, --UTC               Output time in UTC format (default: local time)

json-timeline 의 옵션 및 구성 파일은 csv-timeline 과 동일하지만 JSONL 형식으로 출력하기위한 추가 옵션 -L, --JSONL-output 하나입니다.

level-tuning 명령을 사용하면 환경에 따라 위험 수준을 높이거나 줄이면 규칙에 대한 경고 레벨을 조정할 수 있습니다.

 Usage: level-tuning [OPTIONS]

Display Settings:
      --no-color  Disable color output
  -q, --quiet     Quiet mode: do not display the launch banner

General Options:
  -f, --file   Tune alert levels (default: ./rules/config/level_tuning.txt)

• 정상 사용 : hayabusa.exe level-tuning
• 사용자 정의 구성 파일을 기반으로 조정 규칙 알림 레벨 : hayabusa.exe level-tuning -f my_level_tuning.txt

하야부사와 시그마 규칙 저자는 규칙을 작성할 때 경고의 위험 수준을 결정합니다. 그러나 실제 위험 수준은 환경에 따라 다를 수 있습니다. 규칙 파일의 level 라인을 업데이트 할 hayabusa.exe level-tuning 실행하여 ./rules/config/level_tuning.txt level_tuning.txt에 추가하여 규칙의 위험 수준을 조정할 수 있습니다. 규칙 파일은 직접 업데이트됩니다.

경고 : update-rules 실행할 때마다 원래 경고 레벨은 변경 한 설정을 덮어 쓸 것이므로 레벨을 변경하려면 update-rules 실행할 때마다 level-tuning 명령을 실행해야합니다.

./rules/config/level_tuning.txt 샘플 라인 :

 id,new_level
00000000-0000-0000-0000-000000000000,informational # sample level tuning line

이 경우 규칙 디렉토리의 id 00000000-0000-0000-0000-000000000000 규칙의 위험 수준은 level informational 로 다시 작성합니다. 설정할 수있는 수준은 critical , high , medium , low , informational 적합합니다.

 Usage: list-profiles [OPTIONS]

Display Settings:
      --no-color  Disable color output
  -q, --quiet     Quiet mode: do not display the launch banner

 Usage: set-default-profile [OPTIONS]

Display Settings:
      --no-color  Disable color output
  -q, --quiet     Quiet mode: do not display the launch banner

General Options:
  -p, --profile   Specify output profile

• 기본 프로파일을 minimal 로 설정하십시오 : hayabusa.exe set-default-profile minimal
• 기본 프로필을 super-verbose : hayabusa.exe set-default-profile super-verbose 로 설정하십시오.

update-rules 명령은 rules 폴더를 Hayabusa Rules Github Repository와 동기화하여 규칙 및 구성 파일을 업데이트합니다.

 Usage: update-rules [OPTIONS]

Display Settings:
      --no-color  Disable color output
  -q, --quiet     Quiet mode: do not display the launch banner

General Options:
  -r, --rules   Specify a custom rule directory or file (default: ./rules)

당신은 일반적으로 이것을 실행합니다 : hayabusa.exe update-rules

Hayabusa에는 config/profiles.yaml 에서 사용할 5 가지 사전 정의 된 출력 프로파일이 있습니다.

1. minimal
2. standard (기본값)
3. verbose
4. all-field-info
5. all-field-info-verbose
6. super-verbose
7. timesketch-minimal
8. timesketch-verbose

이 파일을 편집하여 쉽게 사용자 지정하거나 자신의 프로필을 추가 ​​할 수 있습니다. set-default-profile --profile 으로 기본 프로필을 쉽게 변경할 수도 있습니다. list-profiles 명령을 사용하여 사용 가능한 프로파일 및 해당 필드 정보를 표시하십시오.

%Timestamp%, %Computer%, %Channel%, %EventID%, %Level%, %RecordID%, %RuleTitle%, %Details%

%Timestamp%, %Computer%, %Channel%, %EventID%, %Level%, %RecordID%, %RuleTitle%, %Details%, %ExtraFieldInfo%

%Timestamp%, %Computer%, %Channel%, %EventID%, %Level%, %MitreTactics%, %MitreTags%, %OtherTags%, %RecordID%, %RuleTitle%, %Details%, %ExtraFieldInfo%, %RuleFile%, %EvtxFile%

최소한의 details 정보를 출력하는 대신 EventData 및 UserData 섹션의 모든 필드 정보가 원래 필드 이름과 함께 출력됩니다.

%Timestamp%, %Computer%, %Channel%, %EventID%, %Level%, %RecordID%, %RuleTitle%, %AllFieldInfo%, %RuleFile%, %EvtxFile%

%Timestamp%, %Computer%, %Channel%, %EventID%, %Level%, %MitreTactics%, %MitreTags%, %OtherTags%, %RecordID%, %RuleTitle%, %AllFieldInfo%, %RuleFile%, %EvtxFile%

%Timestamp%, %Computer%, %Channel%, %EventID%, %Level%, %RuleTitle%, %RuleAuthor%, %RuleModifiedDate%, %Status%, %RecordID%, %Details%, %ExtraFieldInfo%, %MitreTactics%, %MitreTags%, %OtherTags%, %Provider%, %RuleCreationDate%, %RuleFile%, %EvtxFile%

타임 스케치로 가져 오는 것과 호환되는 형식으로 출력합니다.

%Timestamp%, hayabusa, %RuleTitle%, %Computer%, %Channel%, %EventID%, %Level%, %MitreTactics%, %MitreTags%, %OtherTags%, %RecordID%, %Details%, %RuleFile%, %EvtxFile%

%Timestamp%, hayabusa, %RuleTitle%, %Computer%, %Channel%, %EventID%, %Level%, %MitreTactics%, %MitreTags%, %OtherTags%, %RecordID%, %Details%, %ExtraFieldInfo%, %RuleFile%, %EvtxFile%

다음 벤치 마크는 3GB의 EVTX 데이터와 3891 규칙을 활성화 한 2018 Lenovo P51 (Xeon 4 Core CPU / 64GB RAM)에서 수행되었습니다. (2023/06/01)

다음 정보는 내장 출력 프로파일로 출력 할 수 있습니다.

필요한 경우 출력 프로필에 추가 별명을 추가 할 수도 있습니다.

참고 : 이들은 내장 된 프로파일에 포함되지 않으므로 config/default_profile.yaml 파일을 수동으로 편집하고 다음 줄을 추가해야합니다.

 Message: "%RenderedMessage%"
RuleID: "%RuleID%"

이벤트 키 별칭을 정의하여 다른 필드를 출력 할 수도 있습니다.

공간을 절약하기 위해 경보 level 표시 할 때 다음 약어를 사용합니다.

• crit : critical
• high : high
• med : medium
• low : low
• info : informational

공간을 절약하기 위해 Miter ATT & CK 전술 태그를 표시 할 때 다음 약어를 사용합니다. ./config/mitre_tactics.txt 구성 파일에서 이러한 약어를 자유롭게 편집 할 수 있습니다.

• Recon : 정찰
• ResDev : 자원 개발
• InitAccess : 초기 액세스
• Exec : 실행
• Persis : 끈기
• PrivEsc : 특권 에스컬레이션
• Evas : 방어 회피
• CredAccess : 자격 증명 액세스
• Disc : 발견
• LatMov : 측면 움직임
• Collect : 수집
• C2 : 명령 및 제어
• Exfil : exfiltration
• Impact : 충격

공간을 절약하기 위해 채널을 표시 할 때 다음 약어를 사용합니다. ./rules/config/channel_abbreviations.txt 구성 파일에서 이러한 약어를 자유롭게 편집 할 수 있습니다.

• App : Application
• AppLocker : Microsoft-Windows-AppLocker/*
• BitsCli : Microsoft-Windows-Bits-Client/Operational
• CodeInteg : Microsoft-Windows-CodeIntegrity/Operational
• Defender : Microsoft-Windows-Windows Defender/Operational
• DHCP-Svr : Microsoft-Windows-DHCP-Server/Operational
• DNS-Svr : DNS Server
• DvrFmwk : Microsoft-Windows-DriverFrameworks-UserMode/Operational
• Exchange : MSExchange Management
• Firewall : Microsoft-Windows-Windows Firewall With Advanced Security/Firewall
• KeyMgtSvc : Key Management Service
• LDAP-Cli : Microsoft-Windows-LDAP-Client/Debug
• NTLM Microsoft-Windows-NTLM/Operational
• OpenSSH : OpenSSH/Operational
• PrintAdm : Microsoft-Windows-PrintService/Admin
• PrintOp : Microsoft-Windows-PrintService/Operational
• PwSh : Microsoft-Windows-PowerShell/Operational
• PwShClassic : Windows PowerShell
• RDP-Client : Microsoft-Windows-TerminalServices-RDPClient/Operational
• Sec : Security
• SecMitig : Microsoft-Windows-Security-Mitigations/*
• SmbCliSec : Microsoft-Windows-SmbClient/Security
• SvcBusCli : Microsoft-ServiceBus-Client
• Sys : System
• Sysmon : Microsoft-Windows-Sysmon/Operational
• TaskSch : Microsoft-Windows-TaskScheduler/Operational
• WinRM : Microsoft-Windows-WinRM/Operational
• WMI : Microsoft-Windows-WMI-Activity/Operational

다음 약어는 출력을 가능한 한 간결하게하기 위해 규칙으로 사용됩니다.

• Acct > 계정
• Addr > 주소
• Auth -> 인증
• Cli > 클라이언트
• Chan > 채널
• Cmd > 명령
• Cnt > 수
• Comp > 컴퓨터
• Conn > 연결/연결
• Creds > 자격 증명
• Crit > 비판적
• Disconn -> 연결 끊김/연결이 끊어졌습니다
• Dir > 디렉토리
• Drv > 드라이버
• Dst > 목적지
• EID > 이벤트 ID
• Err > 오류
• Exec -> 실행
• FW > 방화벽
• Grp > 그룹
• Img > 이미지
• Inj -> 주입
• Krb > Kerberos
• LID -> 로그온 ID
• Med > 중간
• Net > 네트워크
• Obj > 객체
• Op > 운영/운영
• Proto -> 프로토콜
• PW > 비밀번호
• Reconn -> 재 연결
• Req > 요청
• Rsp > 응답
• Sess > 세션
• Sig > 서명
• Susp > 의심
• Src > 소스
• Svc > 서비스
• Svr > 서버
• Temp -> 임시
• Term -> 종료/종료
• Tkt > 티켓
• Tgt > 대상
• Unkwn > 알 수 없음
• Usr > 사용자
• Perm > permament
• Pkg > 패키지
• Priv -> 특권
• Proc > 프로세스
• PID > 프로세스 ID
• PGUID > 프로세스 GUID (글로벌 고유 ID)
• Ver > 버전

진행률 표시 줄은 여러 EVTX 파일에서만 작동합니다. 분석을 마친 EVTX 파일의 수와 백분율을 실시간으로 표시합니다.

경고는 경고 level 에 따라 색상으로 출력됩니다. 구성 파일에서 ./config/level_color.txt 의 기본 색상을 level,(RGB 6-digit ColorHex) 으로 변경할 수 있습니다. 색상 출력을 비활성화하려면 --no-color 옵션을 사용할 수 있습니다.

총 이벤트, 히트가있는 이벤트 수, 데이터 감소 메트릭, 총 및 고유 탐지, 대부분의 탐지가있는 날짜, 탐지가있는 최고 컴퓨터 및 최상위 경보가 표시된 후에 표시됩니다.

-T, --visualize-timeline 옵션을 추가하면 이벤트 주파수 타임 라인 기능에는 감지 된 이벤트의 Sparkline 주파수 타임 라인이 표시됩니다. 참고 : 5 회 이상의 이벤트가 필요합니다. 또한 캐릭터는 기본 명령 프롬프트 또는 PowerShell 프롬프트에서 올바르게 렌더링되지 않으므로 Windows 터미널, ITERM2 등과 같은 터미널을 사용하십시오 ...

Hayabusa 탐지 규칙은 Sigma와 같은 YML 형식으로 작성되며 rules 폴더에 있습니다. 이 규칙은 https://github.com/yamato-security/hayabusa-rules에서 호스팅되므로 주요 Hayabusa 저장소 대신 문제를 보내고 규칙에 대한 요청을 가져 오십시오.

규칙 형식과 규칙을 만드는 방법에 대해 이해하려면 Hayabusa-Rules 저장소 readme를 읽으십시오.

Hayabusa-Rules 저장소의 모든 규칙은 rules 폴더에 배치해야합니다. informational 수준 규칙은 events 로 간주되는 반면, 수준이 low level 이있는 것은 alerts 로 간주됩니다.

Hayabusa Rule Directory 구조는 2 개의 디렉토리로 분리됩니다.

• builtin : Windows 내장 기능으로 생성 할 수있는 로그.
• sysmon : Sysmon에 의해 생성되는 로그.

규칙은 로그 유형 (예 : 보안, 시스템 등)별로 디렉토리로 더 분리되며 다음 형식으로 지정됩니다.

새로운 규칙을 확인하거나 새로운 규칙을 작성하거나 탐지 로직을 확인하려면 템플릿으로 사용할 규칙을 확인하십시오.

Hayabusa는 내부적으로 logsource 필드를 처리하는 것을 제외하고 기본적으로 시그마 규칙을 지원합니다. 잘못된 양성을 줄이기 위해, 시그마 규칙은 여기에 설명 된 컨버터를 통해 실행해야합니다. 이렇게하면 적절한 Channel 및 EventID 추가되며 process_creation 과 같은 특정 범주에 대한 필드 매핑을 수행합니다.

거의 모든 Hayabusa 규칙은 Sigma 형식과 호환되므로 Sigma 규칙처럼 다른 Siem 형식으로 변환 할 수 있습니다. Hayabusa 규칙은 Windows 이벤트 로그 분석을 위해서만 설계되었으며 다음과 같은 이점이 있습니다.

1. 로그의 유용한 필드에서만 가져온 추가 정보를 표시하는 추가 details 필드.
2. 그것들은 모두 샘플 로그에 대해 테스트되었으며 작동하는 것으로 알려져 있습니다.
3. |equalsfield 및 |endswithfield 와 같은 시그마에서는 여분의 어 그리 게이터를 찾을 수 없습니다.

우리가 아는 한, Hayabusa는 오픈 소스 Windows 이벤트 로그 분석 도구에서 시그마 규칙에 대한 가장 큰 기본 지원을 제공합니다.

• APT -HUNTER- 파이썬으로 작성된 공격 탐지 도구.
• 멋진 이벤트 ID- 디지털 법의학 및 사고 대응에 유용한 이벤트 ID 리소스 모음
• Chainsaw- 녹로 작성된 또 다른 시그마 기반 공격 탐지 도구.
• DeepBluecli- Eric Conrad에 의해 PowerShell에 작성된 공격 탐지 도구.
• epagneul- Windows 이벤트 로그를위한 그래프 시각화.
• EventList- Miriam Wiesner의 Miter Att & CK에 대한 보안 기준선 이벤트 ID를지도.
• Window Event Log ID와 함께 Miter Att & CK 매핑 -Michel de Crevoisier
• EVTXECMD -ERIC ZIMMERMAN의 EVTX PARSER.
• Evtxtract- 할당되지 않은 공간 및 메모리 이미지에서 EVTX 로그 파일을 복구하십시오.
• EVTXTOELK- EVTX 데이터를 탄성 스택으로 보내는 Python 도구.
• EVTX 공격 샘플 -Sbousseaden의 EVTX 공격 샘플 이벤트 로그 파일.
• EVTX-to-Mitre-Attack-EVTX 공격 샘플 이벤트 로그 파일 Michel de Crevoisier에 의해 ATT & CK에 매핑되었습니다.
• EVTX PARSER- @obenamram에서 작성한 Rust EVTX 라이브러리.
• Grafiki -Sysmon 및 PowerShell Log Visualizer.
• LOGONTRACER- 로그온을 시각화하여 JPCERTCC에 의해 측면 이동을 감지하는 그래픽 인터페이스.
• NSA Windows 이벤트 모니터링 안내서 - 모니터링 할 내용에 대한 NSA 안내서.
• Rustyblue -Yamato 보안에 의한 Deepbluecli의 녹 포트.
• 시그마 - 커뮤니티 기반 일반 SIEM 규칙.
• Sof-Elk- Phil Hagen의 DFIR 분석을위한 데이터를 가져 오기 위해 탄성 스택이있는 사전 포장 VM
• So-Import-EVTX- EVTX 파일을 보안 양파로 가져옵니다.
• Sysmontools- Sysmon의 구성 및 오프라인 로그 시각화 도구.
• 타임 라인 탐색기 - Eric Zimmerman의 최고의 CSV 타임 라인 분석기.
• Windows Event Log Analysis- 분석가 참조 - Forward Defense의 Steve Anson.
• 지르 콜라이트 - 시그마 기반 공격 탐지 도구는 파이썬으로 작성되었습니다.

Windows 시스템의 악성 활동을 올바르게 감지하려면 기본 로그 설정을 개선해야합니다. 우리는 https://github.com/yamato-security/enablewindowslogsettings에서 적절한 설정을 자동으로 활성화하기 위해 스크립트뿐만 아니라 어떤 로그 설정을 활성화 해야하는지 문서화하기 위해 별도의 프로젝트를 만들었습니다.

또한 다음 사이트를 권장합니다.

• JSCU-NL (Joint Sigint Cyber ​​Unit Netherlands) 로깅 필수품
• ACSC (Australian Cyber ​​Security Center) 로깅 및 파우 딩 가이드
• 맬웨어 고고학 치트 시트

가장 많은 법 의학적 증거를 만들고 가장 높은 정확도로 감지하려면 Sysmon을 설치해야합니다. 다음 사이트 및 구성 파일을 권장합니다.

• TrustedSec Sysmon 커뮤니티 가이드
• Sysmon 모듈 식
• Swiftonsecurity Sysmon Config
• NEO23X0의 Swiftonsecurity Sysmon Config Fork
• Swiftonsecurity Sysmon Config Fork의 이온 스톰

• 2023/12/11 하야부사 깃털을 풀어주십시오 : 내 최고 기능이 공개되었습니다! Christian Henriksen
• 2023/10/16 Md. Mahim Bin Firoj의 Hayabusa 도구를 사용한 사고 대응 및 위협 사냥
• 2023/03/21 Eric Capuano의 Hayabusa와 함께 이벤트 로그에서 위협 찾기
• 2023/03/14 Fukusuke Takahashi의 Hayabusa 개발자를위한 Rust Performance Guide
• 2022/06/19 Eric Capuano의 Velociraptor 연습 및 Hayabusa 통합
• 2022/01/24 Matthew Seyer (@forensic_matt)의 NEO4J의 Hayabusa 결과 그래프.

• 2024/01/24 LME × HAYABUSA － WINDONSE イベントログの集約と解析の効率化의 NEC 보안 블로그
• 2023/09/29 Hayabusa 및 Splunk By NEC 보안 블로그와의 빠른 법의학
• 2023/09/13 FFRI의 Hayabusa를 사용한 Windows 이벤트 로그 분석
• 2022/03/14 Fukusuke Takahashi의 Hayabusa 개발자를위한 Rust Performance Guide
• 2022/01/22 hayabusa 시각화는 @kzzzzo2에 의해 탄성 스택을 초래합니다
• 2021/12/31 ITIB에 의해 Hayabusa에 대한 소개 (@itib_s144)
• 2021/12/27 Kazuminn의 Hayabusa Internals (@k47_um1n)

우리는 어떤 형태의 공헌을 좋아할 것입니다. 풀 요청, 규칙 작성 및 샘플 EVTX 로그가 가장 좋지만 기능 요청이 버그 등을 알리는 것도 매우 환영합니다.

최소한, 당신이 우리의 도구를 좋아한다면, 우리에게 Github에 별을 줘서 당신의 지원을 보여주십시오!

여기에서 찾은 버그를 제출하십시오. 이 프로젝트는 현재 적극적으로 유지되고 있으며보고 된 버그를 수정하게되어 기쁩니다.

Hayabusa 규칙이있는 문제 (오 탐지, 버그 등)를 찾으면 Hayabusa-Rules Github 문제 페이지에보고하십시오.

시그마 규칙이있는 문제 (오 탐지, 버그 등)를 찾으면 여기에서 업스트림 시그마크 github 문제 페이지에보고하십시오.

Hayabusa는 AGPLV3에 따라 릴리스되며 모든 규칙은 DRL (Detection Rul License) 1.1에 따라 릴리스됩니다.

Hayabusa는 https://www.maxmind.com에서 제공되는 Maxmind에서 만든 Geolite2 데이터를 사용합니다.

@SecurityYamato의 Twitter에서 우리를 팔로우하여 Hayabusa, Rule 업데이트, 기타 Yamato 보안 도구 등에 대한 최신 뉴스를받을 수 있습니다.