hayabusa

Hayabusa é um gerador rápido de linha do tempo forense de log de eventos do Windows e uma ferramenta de caça a ameaças criada pelo grupo Yamato Security no Japão. Hayabusa significa “falcão peregrino” em japonês e foi escolhido porque os falcões peregrinos são os animais mais rápidos do mundo, ótimos na caça e altamente treináveis. Ele é escrito em Rust e suporta multithreading para ser o mais rápido possível. Fornecemos uma ferramenta para converter regras Sigma para o formato de regras Hayabusa. As regras de detecção Hayabusa compatíveis com Sigma são escritas em YML para serem tão facilmente personalizáveis ​​e extensíveis quanto possível. A Hayabusa pode ser executada em sistemas únicos para análise em tempo real, coletando logs de um ou vários sistemas para análise off-line ou executando o artefato Hayabusa com Velociraptor para caça a ameaças e resposta a incidentes em toda a empresa. A saída será consolidada em uma única linha do tempo CSV para fácil análise no LibreOffice, Timeline Explorer, Elastic Stack, Timesketch, etc...

• EnableWindowsLogSettings – Documentação e scripts para habilitar corretamente os logs de eventos do Windows.
• Regras codificadas Hayabusa - O mesmo que o repositório de regras Hayabusa, mas as regras e os arquivos de configuração são armazenados em um arquivo e submetidos a XOR para evitar falsos positivos do antivírus.
• Regras Hayabusa - Hayabusa e regras de detecção Sigma selecionadas usaram Hayabusa.
• Hayabusa EVTX - Um garfo mais mantido da caixa evtx .
• Hayabusa Sample EVTXs - Exemplos de arquivos evtx para usar para testar regras de detecção hayabusa/sigma.
• Apresentações - Apresentações de palestras que realizamos sobre nossas ferramentas e recursos.
• Conversor Sigma para Hayabusa - Seleciona regras Sigma baseadas no log de eventos upstream do Windows em um formato mais fácil de usar.
• Takajo - Um analisador de resultados hayabusa.
• WELA (Windows Event Log Analyzer) - Um analisador para logs de eventos do Windows escritos em PowerShell. (Descontinuado e substituído por Takajo.)

• AllthingsTimesketch - Um fluxo de trabalho NodeRED que importa resultados do Plaso e Hayabusa para o Timesketch.
• LimaCharlie – Fornece ferramentas e infraestrutura de segurança baseadas em nuvem para atender às suas necessidades.
• OpenRelik – Uma plataforma de código aberto (Apache-2.0) projetada para agilizar investigações forenses digitais colaborativas.
• Splunk4DFIR – Ative rapidamente uma instância do splunk com Docker para navegar pelos logs e saídas de ferramentas durante suas investigações.
• Velociraptor - Uma ferramenta para coletar informações de estado baseadas em host usando consultas Velociraptor Query Language (VQL).

• Sobre Hayabusa
• Projetos complementares
• Projetos de terceiros que usam Hayabusa
  • Índice
  • Principais Objetivos
    • Caça a ameaças e DFIR em toda a empresa
    • Geração rápida de cronograma forense
• Capturas de tela
  • Comece
  • Saída do Terminal da Linha do Tempo DFIR
  • Resultados da pesquisa por palavra-chave
  • Linha do tempo de frequência de detecção (opção -T )
  • Resumo dos resultados
  • Resumo de resultados HTML (opção -H )
  • Análise da linha do tempo DFIR no LibreOffice (saída -M Multiline)
  • Análise da linha do tempo DFIR no Timeline Explorer
  • Filtragem de alertas críticos e agrupamento de computadores no Timeline Explorer
  • Análise com o Elastic Stack Dashboard
  • Análise no Timesketch
• Importando e analisando resultados da linha do tempo
• Analisando resultados formatados em JSON com JQ
• Características
• Transferências
  • Pacotes de resposta ao vivo do Windows
• Clonagem do Git
• Avançado: Compilando a partir da fonte (opcional)
  • Atualizando Pacotes Rust
  • Compilação cruzada de binários do Windows de 32 bits
  • Notas de compilação do macOS
  • Notas de compilação do Linux
  • Binários Linux MUSL de compilação cruzada
• Correndo Hayabusa
  • Cuidado: avisos de antivírus/EDR e tempos de execução lentos
  • Windows
    • Erro ao tentar verificar um arquivo ou diretório com espaço no caminho
  • Linux
  • macOS
• Lista de comandos
  • Comandos de análise:
  • Comandos da linha do tempo DFIR:
  • Comandos Gerais:
• Uso de comando
  • Comandos de análise
    • comando computer-metrics
      • exemplos de comandos de computer-metrics
      • captura de tela computer-metrics
    • comando eid-metrics
      • exemplos de comandos eid-metrics
      • arquivo de configuração do comando eid-metrics
      • captura de tela eid-metrics
    • comando logon-summary
      • exemplos de comandos logon-summary
      • capturas de tela logon-summary
    • comando pivot-keywords-list
      • exemplos de comando pivot-keywords-list
      • arquivo de configuração pivot-keywords-list
    • comando search
      • exemplos de comandos search
      • arquivos de configuração do comando search
  • Comandos da linha do tempo DFIR
    • Assistente de verificação
      • Regras Básicas
      • Regras Básicas+
      • Regras Básicas++
      • Regras complementares de ameaças emergentes (ET)
      • Regras complementares de caça a ameaças (TH)
    • Log de eventos baseado em canal e filtragem de regras
    • comando csv-timeline
      • exemplos de comandos csv-timeline
      • Avançado - Enriquecimento de Log GeoIP
        • Arquivo de configuração GeoIP
        • Atualizações automáticas de bases de dados GeoIP
      • arquivos de configuração do comando csv-timeline
    • comando json-timeline
      • exemplos de comando json-timeline e arquivos de configuração
    • comando level-tuning
      • exemplos de comandos de level-tuning
      • arquivo de configuração level-tuning
    • comando list-profiles
    • comando set-default-profile
      • exemplos de comando set-default-profile
    • comando update-rules
      • exemplo de comando de update-rules
• Saída da linha do tempo
  • Perfis de saída
    • 1. saída minimal de perfil
    • 2. saída de perfil standard
    • 3. Saída de perfil verbose
    • 4. Saída do perfil all-field-info
    • 5. Saída de perfil all-field-info-verbose
    • 6. Saída de perfil super-verbose
    • 7. Saída do perfil timesketch-minimal
    • 8. Saída do perfil timesketch-verbose
    • Comparação de perfis
    • Aliases de campo de perfil
      • Aliases de campo de perfil extras
  • Abreviações de nível
  • Abreviações de táticas MITRE ATT&CK
  • Abreviações de canais
  • Outras abreviaturas
  • Barra de progresso
  • Saída de cores
  • Resumo dos resultados
    • Cronograma de frequência de detecção
• Regras da Hayabusa
  • Regras Sigma vs Hayabusa (compatível com Sigma integrado)
• Outros analisadores de log de eventos do Windows e recursos relacionados
• Recomendações de log do Windows
• Projetos relacionados ao Sysmon
• Documentação Comunitária
  • Inglês
  • japonês
• Contribuição
• Envio de Bug
• Licença
• Twitter

Atualmente, a Hayabusa tem mais de 4.000 regras Sigma e mais de 170 regras de detecção integradas da Hayabusa, com mais regras sendo adicionadas regularmente. Ele pode ser usado para caça proativa de ameaças em toda a empresa, bem como DFIR (Digital Forensics and Incident Response) gratuitamente com o artefato Hayabusa do Velociraptor. Ao combinar essas duas ferramentas de código aberto, você pode essencialmente reproduzir retroativamente um SIEM quando não houver configuração de SIEM no ambiente. Você pode aprender como fazer isso assistindo ao passo a passo do Velociraptor de Eric Capuano aqui.

A análise do log de eventos do Windows tem sido tradicionalmente um processo muito longo e tedioso porque os logs de eventos do Windows estão 1) em um formato de dados difícil de analisar e 2) a maioria dos dados são ruídos e não são úteis para investigações. O objetivo da Hayabusa é extrair apenas dados úteis e apresentá-los em um formato conciso e fácil de ler, que possa ser usado não apenas por analistas treinados profissionalmente, mas por qualquer administrador de sistema Windows. A Hayabusa espera permitir que os analistas realizem 80% do seu trabalho em 20% do tempo, em comparação com a análise tradicional do log de eventos do Windows.

Você pode aprender como analisar cronogramas CSV no Excel e no Timeline Explorer aqui.

Você pode aprender como importar arquivos CSV para o Elastic Stack aqui.

Você pode aprender como importar arquivos CSV para o Timesketch aqui.

Você pode aprender como analisar resultados formatados em JSON com jq aqui.

• Suporte multiplataforma: Windows, Linux, macOS.
• Desenvolvido em Rust para ser rápido e seguro para a memória.
• Suporte multi-thread proporcionando uma melhoria de velocidade de até 5x.
• Cria cronogramas únicos e fáceis de analisar para investigações forenses e resposta a incidentes.
• Caça a ameaças com base em assinaturas IoC escritas em regras hayabusa baseadas em YML fáceis de ler/criar/editar.
• Suporte a regras Sigma para converter regras sigma em regras hayabusa.
• Atualmente ele suporta a maioria das regras sigma em comparação com outras ferramentas semelhantes e ainda suporta regras de contagem e novos agregadores como |equalsfield e |endswithfield .
• Métricas de computador. (Útil para filtrar/ativar determinados computadores com uma grande quantidade de eventos.)
• Métricas de ID do evento. (Útil para obter uma ideia dos tipos de eventos existentes e para ajustar suas configurações de log.)
• Configuração de ajuste de regras excluindo regras desnecessárias ou barulhentas.
• Mapeamento de táticas MITRE ATT&CK.
• Ajuste de nível de regra.
• Crie uma lista de palavras-chave dinâmicas exclusivas para identificar rapidamente usuários, nomes de host, processos, etc. anormais... bem como correlacionar eventos.
• Produza todos os campos para investigações mais completas.
• Resumo de logon bem-sucedido e com falha.
• Caça a ameaças em toda a empresa e DFIR em todos os endpoints com o Velociraptor.
• Saída para relatórios de resumo CSV, JSON/JSONL e HTML.
• Atualizações diárias das regras Sigma.
• Suporte para entrada de log formatada em JSON.
• Normalização do campo de log. (Convertendo vários campos com convenções de nomenclatura diferentes no mesmo nome de campo.)
• Enriquecimento de log adicionando informações GeoIP (ASN, cidade, país) aos endereços IP.
• Pesquise todos os eventos por palavras-chave ou expressões regulares.
• Mapeamento de dados de campo. (Ex: 0xc0000234 -> ACCOUNT LOCKED )
• Gravação de registro Evtx a partir do espaço de folga evtx.
• Desduplicação de eventos na saída. (Útil quando os registros de recuperação estão habilitados ou quando você inclui arquivos evtx de backup, arquivos evtx do VSS, etc...)
• Assistente de configuração de verificação para ajudar a escolher quais regras ativar com mais facilidade. (Para reduzir falsos positivos, etc...)
• Análise e extração de campo de log clássico do PowerShell.
• Baixo uso de memória. (Observação: isso é possível sem classificar os resultados. Melhor para execução em agentes ou big data.)
• Filtragem por canais e regras para desempenho mais eficiente.

Baixe a versão estável mais recente do Hayabusa com binários compilados ou compile o código-fonte na página de lançamentos.

Fornecemos binários para as seguintes arquiteturas:

• Linux ARM GNU de 64 bits ( hayabusa-xxx-lin-aarch64-gnu )
• Linux Intel GNU de 64 bits ( hayabusa-xxx-lin-x64-gnu )
• Linux Intel MUSL de 64 bits ( hayabusa-xxx-lin-x64-musl )
• macOS ARM de 64 bits ( hayabusa-xxx-mac-aarch64 )
• macOS Intel de 64 bits ( hayabusa-xxx-mac-x64 )
• ARM do Windows de 64 bits ( hayabusa-xxx-win-aarch64.exe )
• Windows Intel de 64 bits ( hayabusa-xxx-win-x64.exe )
• Windows Intel de 32 bits ( hayabusa-xxx-win-x86.exe )

Por alguma razão, o binário Linux ARM MUSL não funciona corretamente, por isso não fornecemos esse binário. Está fora do nosso controle, por isso planejamos fornecê-lo no futuro, quando for consertado.

A partir da v2.18.0, fornecemos pacotes especiais do Windows que usam regras codificadas em XOR fornecidas em um único arquivo, bem como todos os arquivos de configuração combinados em um único arquivo (hospedado no repositório de regras codificadas em hayabusa). Basta baixar os pacotes zip com live-response no nome. Os arquivos zip incluem apenas três arquivos: o binário Hayabusa, o arquivo de regras codificado em XOR e o arquivo de configuração. O objetivo desses pacotes de resposta ao vivo é ao executar Hayabusa em endpoints de clientes. Queremos ter certeza de que scanners antivírus como o Windows Defender não forneçam falsos positivos em arquivos de regras .yml . Além disso, queremos minimizar a quantidade de arquivos gravados no sistema para que artefatos forenses como o USN Journal não sejam substituídos.

Você pode git clone o repositório com o seguinte comando e compilar o binário do código-fonte:

Atenção: O branch principal do repositório é para fins de desenvolvimento então você poderá acessar novos recursos ainda não lançados oficialmente, porém, pode haver bugs então considere-o instável.

git clone https://github.com/Yamato-Security/hayabusa.git --recursive

Nota: Se você esquecer de usar a opção --recursive, a pasta rules , que é gerenciada como um submódulo git, não será clonada.

Você pode sincronizar a pasta de rules e obter as regras mais recentes da Hayabusa com git pull --recurse-submodules ou usar o seguinte comando:

hayabusa.exe update-rules

Se a atualização falhar, pode ser necessário renomear a pasta rules e tentar novamente.

Cuidado: Ao atualizar, as regras e os arquivos de configuração na pasta de rules são substituídos pelas regras e arquivos de configuração mais recentes no repositório hayabusa-rules. Quaisquer alterações feitas nos arquivos existentes serão substituídas, portanto, recomendamos que você faça backups de todos os arquivos editados antes de atualizar. Se você estiver realizando ajuste de nível com level-tuning , reajuste seus arquivos de regras após cada atualização. Se você adicionar novas regras dentro da pasta rules , elas não serão substituídas ou excluídas durante a atualização.

Se você tiver o Rust instalado, poderá compilar a partir do código-fonte com o seguinte comando:

Nota: Para compilar, você geralmente precisa da versão mais recente do Rust.

cargo build --release

Você pode baixar a versão instável mais recente no branch principal ou a versão estável mais recente na página de lançamentos.

Certifique-se de atualizar periodicamente o Rust com:

rustup update stable

O binário compilado será gerado na pasta ./target/release .

Você pode atualizar para as caixas Rust mais recentes antes de compilar:

cargo update

Informe-nos se algo quebrar após a atualização.

Você pode criar binários de 32 bits em sistemas Windows de 64 bits com o seguinte:

rustup install stable-i686-pc-windows-msvc
rustup target add i686-pc-windows-msvc
rustup run stable-i686-pc-windows-msvc cargo build --release

Aviso: Certifique-se de executar rustup install stable-i686-pc-windows-msvc sempre que houver uma nova versão estável do Rust, pois rustup update stable não atualizará o compilador para compilação cruzada e você poderá receber erros de compilação.

Se receber erros de compilação sobre o openssl, você precisará instalar o Homebrew e depois instalar os seguintes pacotes:

brew install pkg-config
brew install openssl

Se receber erros de compilação sobre o openssl, você precisará instalar o pacote a seguir.

Distribuições baseadas em Ubuntu:

sudo apt install libssl-dev

Distribuições baseadas no Fedora:

sudo yum install openssl-devel

Em um sistema operacional Linux, primeiro instale o destino.

rustup install stable-x86_64-unknown-linux-musl
rustup target add x86_64-unknown-linux-musl

Compilar com:

cargo build --release --target=x86_64-unknown-linux-musl

Aviso: Certifique-se de executar rustup install stable-x86_64-unknown-linux-musl sempre que houver uma nova versão estável do Rust, pois rustup update stable não atualizará o compilador para compilação cruzada e você poderá receber erros de compilação.

O binário MUSL será criado no diretório ./target/x86_64-unknown-linux-musl/release/ . Os binários MUSL são cerca de 15% mais lentos que os binários GNU, no entanto, são mais portáveis ​​em diferentes versões e distribuições do Linux.

Você pode receber um alerta de produtos antivírus ou EDR ao tentar executar o hayabusa ou mesmo apenas ao baixar as regras .yml , pois haverá palavras-chave como mimikatz e comandos suspeitos do PowerShell na assinatura de detecção. Esses são falsos positivos, portanto, será necessário configurar exclusões em seus produtos de segurança para permitir a execução do hayabusa. Se você está preocupado com malware ou ataques à cadeia de suprimentos, verifique o código-fonte da hayabusa e compile os binários você mesmo.

Você pode enfrentar um tempo de execução lento, especialmente na primeira execução após uma reinicialização, devido à proteção em tempo real do Windows Defender. Você pode evitar isso desativando temporariamente a proteção em tempo real ou adicionando uma exclusão ao diretório de tempo de execução hayabusa. (Leve em consideração os riscos de segurança antes de fazer isso.)

Em um prompt de comando/PowerShell ou terminal do Windows, basta executar o binário apropriado do Windows de 32 ou 64 bits.

Ao usar o prompt de comando ou PowerShell integrado no Windows, você pode receber um erro informando que a Hayabusa não conseguiu carregar nenhum arquivo .evtx se houver espaço no caminho do arquivo ou diretório. Para carregar os arquivos .evtx corretamente, faça o seguinte:

1. Coloque o caminho do arquivo ou diretório entre aspas duplas.
2. Se for um caminho de diretório, certifique-se de não incluir uma barra invertida no último caractere.

Primeiro você precisa tornar o binário executável.

chmod +x ./hayabusa

Em seguida, execute-o no diretório raiz da Hayabusa:

./hayabusa

No Terminal ou iTerm2, primeiro você precisa tornar o binário executável.

chmod +x ./hayabusa

Em seguida, tente executá-lo a partir do diretório raiz da Hayabusa:

./hayabusa

Na versão mais recente do macOS, você pode receber o seguinte erro de segurança ao tentar executá-lo:

Clique em “Cancelar” e em Preferências do Sistema, abra “Segurança e Privacidade” e na guia Geral, clique em “Permitir assim mesmo”.

Depois disso, tente executá-lo novamente.

./hayabusa

O seguinte aviso aparecerá, então clique em "Abrir".

Agora você deve ser capaz de executar o hayabusa.

• computer-metrics : imprime o número de eventos com base nos nomes dos computadores.
• eid-metrics : Imprime o número e a porcentagem de eventos com base no ID do evento.
• logon-summary : imprime um resumo dos eventos de logon.
• pivot-keywords-list : Imprima uma lista de palavras-chave suspeitas para usar.
• search : pesquise todos os eventos por palavras-chave ou expressões regulares

• csv-timeline : Salve a linha do tempo no formato CSV.
• json-timeline : Salve a linha do tempo no formato JSON/JSONL.
• level-tuning : ajuste personalizado do level dos alertas.
• list-profiles : lista os perfis de saída disponíveis.
• set-default-profile : Altere o perfil padrão.
• update-rules : Sincronize as regras com as regras mais recentes no repositório GitHub hayabusa-rules.

• help : imprime esta mensagem ou a ajuda do(s) subcomando(s) fornecido(s)
• list-contributors : Imprime a lista de contribuidores

Você pode utilizar o comando computer-metrics para verificar quantos eventos existem de acordo com cada computador definido no campo <System><Computer> . Esteja ciente de que você não pode confiar totalmente no campo Computer para separar eventos pelo computador original. Às vezes, o Windows 11 usa nomes Computer completamente diferentes ao salvar em logs de eventos. Além disso, o Windows 10 às vezes registra o nome Computer em letras minúsculas. Este comando não usa nenhuma regra de detecção, portanto analisará todos os eventos. Este é um bom comando para executar para ver rapidamente quais computadores têm mais logs. Com essas informações, você pode usar as opções --include-computer ou --exclude-computer ao criar suas linhas do tempo para tornar a geração da linha do tempo mais eficiente, criando várias linhas do tempo de acordo com o computador ou excluindo eventos de determinados computadores.

 Usage: computer-metrics <INPUT> [OPTIONS]

Input:
  -d, --directory <DIR>  Directory of multiple .evtx files
  -f, --file <FILE>      File path to one .evtx file
  -l, --live-analysis    Analyze the local C:WindowsSystem32winevtLogs folder

General Options:
  -C, --clobber                        Overwrite files when saving
  -h, --help                           Show the help menu
  -J, --JSON-input                     Scan JSON formatted logs instead of .evtx (.json or .jsonl)
  -Q, --quiet-errors                   Quiet errors mode: do not save error logs
  -x, --recover-records                Carve evtx records from slack space (default: disabled)
  -c, --rules-config <DIR>             Specify custom rule config directory (default: ./rules/config)
      --target-file-ext <FILE-EXT...>  Specify additional evtx file extensions (ex: evtx_data)
  -t, --threads <NUMBER>               Number of threads (default: optimal number for performance)

Filtering:
      --timeline-offset <OFFSET>  Scan recent events based on an offset (ex: 1y, 3M, 30d, 24h, 30m)

Output:
  -o, --output <FILE>  Save the results in CSV format (ex: computer-metrics.csv)

Display Settings:
      --no-color  Disable color output
  -q, --quiet     Quiet mode: do not display the launch banner
  -v, --verbose   Output verbose information

• Imprima métricas de nome de computador de um diretório: hayabusa.exe computer-metrics -d ../logs
• Salve os resultados em um arquivo CSV: hayabusa.exe computer-metrics -d ../logs -o computer-metrics.csv

Você pode usar o comando eid-metrics para imprimir o número total e a porcentagem de IDs de eventos (campo <System><EventID> ) separados por canais. Este comando não usa nenhuma regra de detecção, portanto verificará todos os eventos.

 Usage: eid-metrics <INPUT> [OPTIONS]

Input:
  -d, --directory <DIR>  Directory of multiple .evtx files
  -f, --file <FILE>      File path to one .evtx file
  -l, --live-analysis    Analyze the local C:WindowsSystem32winevtLogs folder

General Options:
  -C, --clobber                        Overwrite files when saving
  -h, --help                           Show the help menu
  -J, --JSON-input                     Scan JSON formatted logs instead of .evtx (.json or .jsonl)
  -Q, --quiet-errors                   Quiet errors mode: do not save error logs
  -x, --recover-records                Carve evtx records from slack space (default: disabled)
  -c, --rules-config <DIR>             Specify custom rule config directory (default: ./rules/config)
      --target-file-ext <FILE-EXT...>  Specify additional evtx file extensions (ex: evtx_data)
  -t, --threads <NUMBER>               Number of threads (default: optimal number for performance)

Filtering:
      --exclude-computer <COMPUTER...>  Do not scan specified computer names (ex: ComputerA) (ex: ComputerA,ComputerB)
      --include-computer <COMPUTER...>  Scan only specified computer names (ex: ComputerA) (ex: ComputerA,ComputerB)
      --timeline-offset <OFFSET>        Scan recent events based on an offset (ex: 1y, 3M, 30d, 24h, 30m)

Output:
  -o, --output <FILE>  Save the Metrics in CSV format (ex: metrics.csv)

Display Settings:
      --no-color  Disable color output
  -q, --quiet     Quiet mode: do not display the launch banner
  -v, --verbose   Output verbose information

Time Format:
      --European-time     Output timestamp in European time format (ex: 22-02-2022 22:00:00.123 +02:00)
      --ISO-8601          Output timestamp in ISO-8601 format (ex: 2022-02-22T10:10:10.1234567Z) (Always UTC)
      --RFC-2822          Output timestamp in RFC 2822 format (ex: Fri, 22 Feb 2022 22:00:00 -0600)
      --RFC-3339          Output timestamp in RFC 3339 format (ex: 2022-02-22 22:00:00.123456-06:00)
      --US-military-time  Output timestamp in US military time format (ex: 02-22-2022 22:00:00.123 -06:00)
      --US-time           Output timestamp in US time format (ex: 02-22-2022 10:00:00.123 PM -06:00)
  -U, --UTC               Output time in UTC format (default: local time)

• Imprima métricas de ID de evento de um único arquivo: hayabusa.exe eid-metrics -f Security.evtx
• Imprima métricas de ID de evento de um diretório: hayabusa.exe eid-metrics -d ../logs
• Salve os resultados em um arquivo CSV: hayabusa.exe eid-metrics -f Security.evtx -o eid-metrics.csv

O canal, os IDs dos eventos e os títulos dos eventos são definidos em rules/config/channel_eid_info.txt .

Exemplo:

 Channel,EventID,EventTitle
Microsoft-Windows-Sysmon/Operational,1,Process Creation.
Microsoft-Windows-Sysmon/Operational,2,File Creation Timestamp Changed. (Possible Timestomping)
Microsoft-Windows-Sysmon/Operational,3,Network Connection.
Microsoft-Windows-Sysmon/Operational,4,Sysmon Service State Changed.

Você pode usar o comando logon-summary para gerar um resumo das informações de logon (nomes de usuário de logon e contagem de logons bem-sucedidos e com falha). Você pode exibir as informações de logon de um arquivo evtx com -f ou de vários arquivos evtx com a opção -d .

 Usage: logon-summary <INPUT> [OPTIONS]

Input:
  -d, --directory <DIR>  Directory of multiple .evtx files
  -f, --file <FILE>      File path to one .evtx file
  -l, --live-analysis    Analyze the local C:WindowsSystem32winevtLogs folder

General Options:
  -C, --clobber                        Overwrite files when saving
  -h, --help                           Show the help menu
  -J, --JSON-input                     Scan JSON formatted logs instead of .evtx (.json or .jsonl)
  -Q, --quiet-errors                   Quiet errors mode: do not save error logs
  -x, --recover-records                Carve evtx records from slack space (default: disabled)
  -c, --rules-config <DIR>             Specify custom rule config directory (default: ./rules/config)
      --target-file-ext <FILE-EXT...>  Specify additional evtx file extensions (ex: evtx_data)
  -t, --threads <NUMBER>               Number of threads (default: optimal number for performance)

Filtering:
      --exclude-computer <COMPUTER...>  Do not scan specified computer names (ex: ComputerA) (ex: ComputerA,ComputerB)
      --include-computer <COMPUTER...>  Scan only specified computer names (ex: ComputerA) (ex: ComputerA,ComputerB)
      --timeline-end <DATE>             End time of the event logs to load (ex: "2022-02-22 23:59:59 +09:00")
      --timeline-offset <OFFSET>        Scan recent events based on an offset (ex: 1y, 3M, 30d, 24h, 30m)
      --timeline-start <DATE>           Start time of the event logs to load (ex: "2020-02-22 00:00:00 +09:00")

Output:
  -o, --output <FILENAME-PREFIX>  Save the logon summary to two CSV files (ex: -o logon-summary)

Display Settings:
      --no-color  Disable color output
  -q, --quiet     Quiet mode: do not display the launch banner
  -v, --verbose   Output verbose information

Time Format:
      --European-time     Output timestamp in European time format (ex: 22-02-2022 22:00:00.123 +02:00)
      --ISO-8601          Output timestamp in ISO-8601 format (ex: 2022-02-22T10:10:10.1234567Z) (Always UTC)
      --RFC-2822          Output timestamp in RFC 2822 format (ex: Fri, 22 Feb 2022 22:00:00 -0600)
      --RFC-3339          Output timestamp in RFC 3339 format (ex: 2022-02-22 22:00:00.123456-06:00)
      --US-military-time  Output timestamp in US military time format (ex: 02-22-2022 22:00:00.123 -06:00)
      --US-time           Output timestamp in US time format (ex: 02-22-2022 10:00:00.123 PM -06:00)
  -U, --UTC               Output time in UTC format (default: local time)

• Imprimir resumo de logon: hayabusa.exe logon-summary -f Security.evtx
• Salvar os resultados do resumo de logon: hayabusa.exe logon-summary -d ../logs -o logon-summary.csv

Você pode usar o comando pivot-keywords-list para criar uma lista de palavras-chave pivot exclusivas para identificar rapidamente usuários, nomes de host, processos, etc. anormais... bem como correlacionar eventos.

Importante: por padrão, hayabusa retornará resultados de todos os eventos (informativos e superiores), por isso é altamente recomendável combinar o comando pivot-keywords-list com a opção -m, --min-level . Por exemplo, comece criando apenas palavras-chave de alertas critical com -m critical e depois continue com -m high , -m medium , etc... Provavelmente haverá palavras-chave comuns em seus resultados que corresponderão a muitos eventos normais, portanto, depois de verificar manualmente os resultados e criar uma lista de palavras-chave exclusivas em um único arquivo, você pode criar um cronograma reduzido de atividades suspeitas com um comando como grep -f keywords.txt timeline.csv .

 Usage: pivot-keywords-list <INPUT> [OPTIONS]

Input:
  -d, --directory <DIR>  Directory of multiple .evtx files
  -f, --file <FILE>      File path to one .evtx file
  -l, --live-analysis    Analyze the local C:WindowsSystem32winevtLogs folder

General Options:
  -C, --clobber                        Overwrite files when saving
  -h, --help                           Show the help menu
  -J, --JSON-input                     Scan JSON formatted logs instead of .evtx (.json or .jsonl)
  -w, --no-wizard                      Do not ask questions. Scan for all events and alerts
  -Q, --quiet-errors                   Quiet errors mode: do not save error logs
  -x, --recover-records                Carve evtx records from slack space (default: disabled)
  -c, --rules-config <DIR>             Specify custom rule config directory (default: ./rules/config)
      --target-file-ext <FILE-EXT...>  Specify additional evtx file extensions (ex: evtx_data)
  -t, --threads <NUMBER>               Number of threads (default: optimal number for performance)

Filtering:
  -E, --EID-filter                      Scan only common EIDs for faster speed (./rules/config/target_event_IDs.txt)
  -D, --enable-deprecated-rules         Enable rules with a status of deprecated
  -n, --enable-noisy-rules              Enable rules set to noisy (./rules/config/noisy_rules.txt)
  -u, --enable-unsupported-rules        Enable rules with a status of unsupported
  -e, --exact-level <LEVEL>             Only load rules with a specific level (informational, low, medium, high, critical)
      --exclude-computer <COMPUTER...>  Do not scan specified computer names (ex: ComputerA) (ex: ComputerA,ComputerB)
      --exclude-eid <EID...>            Do not scan specific EIDs for faster speed (ex: 1) (ex: 1,4688)
      --exclude-status <STATUS...>      Do not load rules according to status (ex: experimental) (ex: stable,test)
      --exclude-tag <TAG...>            Do not load rules with specific tags (ex: sysmon)
      --include-computer <COMPUTER...>  Scan only specified computer names (ex: ComputerA) (ex: ComputerA,ComputerB)
      --include-eid <EID...>            Scan only specified EIDs for faster speed (ex: 1) (ex: 1,4688)
      --include-status <STATUS...>      Only load rules with specific status (ex: experimental) (ex: stable,test)
      --include-tag <TAG...>            Only load rules with specific tags (ex: attack.execution,attack.discovery)
  -m, --min-level <LEVEL>               Minimum level for rules to load (default: informational)
      --timeline-end <DATE>             End time of the event logs to load (ex: "2022-02-22 23:59:59 +09:00")
      --timeline-offset <OFFSET>        Scan recent events based on an offset (ex: 1y, 3M, 30d, 24h, 30m)
      --timeline-start <DATE>           Start time of the event logs to load (ex: "2020-02-22 00:00:00 +09:00")

Output:
  -o, --output <FILENAME-PREFIX>  Save pivot words to separate files (ex: PivotKeywords)

Display Settings:
      --no-color  Disable color output
  -q, --quiet     Quiet mode: do not display the launch banner
  -v, --verbose   Output verbose information

• Produza palavras-chave dinâmicas para a tela: hayabusa.exe pivot-keywords-list -d ../logs -m critical
• Crie uma lista de palavras-chave dinâmicas de alertas críticos e salve os resultados. (Os resultados serão salvos em keywords-Ip Addresses.txt , keywords-Users.txt , etc...):

 hayabusa.exe pivot-keywords-list -d ../logs -m critical -o keywords`

Você pode personalizar quais palavras-chave deseja pesquisar editando ./rules/config/pivot_keywords.txt . Esta página é a configuração padrão.

O formato é KeywordName.FieldName . Por exemplo, ao criar a lista de Users , hayabusa listará todos os valores nos campos SubjectUserName , TargetUserName e User .

O comando search permitirá que você pesquise por palavra-chave em todos os eventos. (Não apenas resultados de detecção da Hayabusa.) Isto é útil para determinar se há alguma evidência em eventos que não são detectados pela Hayabusa.

 Usage: hayabusa.exe search <INPUT> <--keywords "<KEYWORDS>" OR --regex "<REGEX>"> [OPTIONS]

Display Settings:
      --no-color  Disable color output
  -q, --quiet     Quiet mode: do not display the launch banner
  -v, --verbose   Output verbose information

General Options:
  -C, --clobber                        Overwrite files when saving
  -h, --help                           Show the help menu
  -Q, --quiet-errors                   Quiet errors mode: do not save error logs
  -x, --recover-records                Carve evtx records from slack space (default: disabled)
  -c, --rules-config <DIR>             Specify custom rule config directory (default: ./rules/config)
      --target-file-ext <FILE-EXT...>  Specify additional evtx file extensions (ex: evtx_data)
  -t, --threads <NUMBER>               Number of threads (default: optimal number for performance)

Input:
  -d, --directory <DIR>  Directory of multiple .evtx files
  -f, --file <FILE>      File path to one .evtx file
  -l, --live-analysis    Analyze the local C:WindowsSystem32winevtLogs folder

Filtering:
  -a, --and-logic                 Search keywords with AND logic (default: OR)
  -F, --filter <FILTER...>        Filter by specific field(s)
  -i, --ignore-case               Case-insensitive keyword search
  -k, --keyword <KEYWORD...>      Search by keyword(s)
  -r, --regex <REGEX>             Search by regular expression
      --timeline-offset <OFFSET>  Scan recent events based on an offset (ex: 1y, 3M, 30d, 24h, 30m)

Output:
  -J, --JSON-output    Save the search results in JSON format (ex: -J -o results.json)
  -L, --JSONL-output   Save the search results in JSONL format (ex: -L -o results.jsonl)
  -M, --multiline      Output event field information in multiple rows for CSV output
  -o, --output <FILE>  Save the search results in CSV format (ex: search.csv)

Time Format:
      --European-time     Output timestamp in European time format (ex: 22-02-2022 22:00:00.123 +02:00)
      --ISO-8601          Output timestamp in ISO-8601 format (ex: 2022-02-22T10:10:10.1234567Z) (Always UTC)
      --RFC-2822          Output timestamp in RFC 2822 format (ex: Fri, 22 Feb 2022 22:00:00 -0600)
      --RFC-3339          Output timestamp in RFC 3339 format (ex: 2022-02-22 22:00:00.123456-06:00)
      --US-military-time  Output timestamp in US military time format (ex: 02-22-2022 22:00:00.123 -06:00)
      --US-time           Output timestamp in US time format (ex: 02-22-2022 10:00:00.123 PM -06:00)
  -U, --UTC               Output time in UTC format (default: local time)

• Pesquise no diretório ../hayabusa-sample-evtx pela palavra-chave mimikatz :