hayabusa

Hayabusa — это генератор временной шкалы журнала событий Windows для быстрого анализа и инструмент поиска угроз, созданный группой Yamato Security в Японии. Хаябуса в переводе с японского означает «сапсан» и был выбран потому, что сапсан — самое быстрое животное в мире, прекрасно охотится и хорошо поддается дрессировке. Он написан на Rust и поддерживает многопоточность, чтобы работать максимально быстро. Мы предоставили инструмент для преобразования правил Sigma в формат правил Hayabusa. Правила обнаружения Hayabusa, совместимые с Sigma, написаны на YML, чтобы их можно было максимально легко настраивать и расширять. Hayabusa можно запускать либо на одной работающей системе для анализа в реальном времени, собирая журналы из одной или нескольких систем для автономного анализа, либо запуская артефакт Hayabusa с Velociraptor для поиска угроз и реагирования на инциденты в масштабе всего предприятия. Результаты будут объединены в единую временную шкалу CSV для удобного анализа в LibreOffice, Timeline Explorer, Elastic Stack, Timesketch и т. д.

• EnableWindowsLogSettings — документация и сценарии для правильного включения журналов событий Windows.
• Закодированные правила Hayabusa — то же, что и хранилище правил Hayabusa, но правила и файлы конфигурации хранятся в одном файле и подвергаются операции XOR для предотвращения ложных срабатываний антивируса.
• Правила Hayabusa — Hayabusa и курируемые правила обнаружения Sigma использовали Hayabusa.
• Hayabusa EVTX — более ухоженная версия ящика evtx .
• Образцы EVTX Hayabusa — примеры файлов evtx, которые можно использовать для тестирования правил обнаружения hayabusa/sigma.
• Презентации — Презентации докладов, которые мы провели о наших инструментах и ​​ресурсах.
• Конвертер Sigma в Hayabusa — преобразует правила Sigma на основе журнала событий Windows в более простую в использовании форму.
• Takajo - Анализатор результатов хаябуса.
• WELA (анализатор журнала событий Windows) — анализатор журналов событий Windows, написанный на PowerShell. (Устарело и заменено Takajo.)

• AllthingsTimesketch — рабочий процесс NodeRED, который импортирует результаты Plaso и Hayabusa в Timesketch.
• LimaCharlie — предоставляет облачные инструменты и инфраструктуру безопасности, соответствующие вашим потребностям.
• OpenRelik — платформа с открытым исходным кодом (Apache-2.0), предназначенная для оптимизации совместных цифровых криминалистических расследований.
• Splunk4DFIR — быстро разверните экземпляр splunk с помощью Docker, чтобы просматривать журналы и выходные данные инструментов во время расследований.
• Velociraptor — инструмент для сбора информации о состоянии хоста с помощью запросов языка запросов Velociraptor (VQL).

• О Хаябусе
• Сопутствующие проекты
• Сторонние проекты, использующие Hayabusa
  • Оглавление
  • Основные цели
    • Охота за угрозами и DFIR в масштабах всего предприятия
    • Быстрое создание временной шкалы криминалистики
• Скриншоты
  • Запускать
  • Выходные данные терминала временной шкалы DFIR
  • Результаты поиска по ключевым словам
  • Временная шкала частоты обнаружения (опция -T )
  • Сводка результатов
  • Сводка результатов в формате HTML (опция -H )
  • Анализ временной шкалы DFIR в LibreOffice ( -M многострочный вывод)
  • Анализ временной шкалы DFIR в обозревателе временной шкалы
  • Фильтрация критических предупреждений и группировка компьютеров в Timeline Explorer
  • Анализ с помощью информационной панели Elastic Stack
  • Анализ в Timesketch
• Импорт и анализ результатов временной шкалы
• Анализ результатов в формате JSON с помощью JQ
• Функции
• Загрузки
  • Пакеты ответов Windows Live
• Клонирование Git
• Дополнительно: компиляция из исходного кода (необязательно)
  • Обновление пакетов Rust
  • Кросс-компиляция 32-битных двоичных файлов Windows
  • Примечания по компиляции macOS
  • Замечания по компиляции Linux
  • Кросс-компиляция двоичных файлов Linux MUSL
• Бегущий Хаябуса
  • Внимание: предупреждения антивируса/EDR и медленное выполнение.
  • Окна
    • Ошибка при попытке сканирования файла или каталога с пробелом в пути
  • Линукс
  • macOS
• Список команд
  • Команды анализа:
  • Команды временной шкалы DFIR:
  • Общие команды:
• Использование команд
  • Команды анализа
    • команда computer-metrics
      • примеры команд computer-metrics
      • Скриншот computer-metrics
    • команда eid-metrics
      • примеры команд eid-metrics
      • Конфигурационный файл команды eid-metrics
      • скриншот eid-metrics
    • команда logon-summary
      • примеры команд logon-summary
      • скриншоты logon-summary
    • команда pivot-keywords-list
      • примеры команд pivot-keywords-list
      • Конфигурационный файл pivot-keywords-list
    • команда search
      • примеры команд search
      • файлы конфигурации команды search
  • Команды временной шкалы DFIR
    • Мастер сканирования
      • Основные правила
      • Основные+ правила
      • Основные правила++
      • Дополнительные правила Emerging Threats (ET)
      • Правила дополнения к Threat Hunting (TH)
    • Журнал событий на основе каналов и фильтрация правил
    • команда csv-timeline шкалы
      • примеры команд csv-timeline
      • Расширенный — обогащение журнала GeoIP
        • Конфигурационный файл GeoIP
        • Автоматические обновления баз данных GeoIP
      • Файлы конфигурации команды csv-timeline
    • команда json-timeline
      • примеры команд json-timeline и файлы конфигурации
    • команда level-tuning
      • примеры команд level-tuning
      • Конфигурационный файл level-tuning
    • команда list-profiles
    • команда set-default-profile
      • примеры команд set-default-profile
    • команда update-rules
      • пример команды update-rules
• Вывод временной шкалы
  • Выходные профили
    • 1. minimal вывод профиля
    • 2. вывод standard профиля
    • 3. verbose вывод профиля
    • 4. вывод профиля all-field-info
    • 5. Вывод профиля all-field-info-verbose
    • 6. super-verbose вывод профиля
    • 7. Вывод timesketch-minimal
    • 8. вывод timesketch-verbose
    • Сравнение профилей
    • Псевдонимы полей профиля
      • Дополнительные псевдонимы полей профиля
  • Сокращения уровней
  • Сокращения MITRE ATT&CK Tactics
  • Сокращения каналов
  • Другие сокращения
  • Индикатор выполнения
  • Цветной вывод
  • Сводка результатов
    • Временная шкала частоты обнаружения
• Правила Хаябусы
  • Правила Sigma против Hayabusa (встроенная совместимость с Sigma)
• Другие анализаторы журнала событий Windows и связанные с ними ресурсы
• Рекомендации по ведению журнала Windows
• Проекты, связанные с Sysmon
• Документация сообщества
  • Английский
  • японский
• Вклад
• Отправка ошибок
• Лицензия
• Твиттер

В настоящее время в Hayabusa имеется более 4000 правил Sigma и более 170 встроенных правил обнаружения Hayabusa, причем новые правила регулярно добавляются. Его можно использовать для превентивного поиска угроз в масштабах всего предприятия, а также бесплатно для DFIR (цифровой криминалистики и реагирования на инциденты) с артефактом Hayabusa от Velociraptor. Объединив эти два инструмента с открытым исходным кодом, вы можете, по сути, задним числом воспроизвести SIEM, когда в среде нет настроек SIEM. Вы можете узнать, как это сделать, посмотрев прохождение Велоцираптора Эрика Капуано здесь.

Анализ журнала событий Windows традиционно был очень долгим и утомительным процессом, поскольку журналы событий Windows 1) имеют формат данных, который трудно анализировать, и 2) большая часть данных представляет собой шум и бесполезна для расследований. Цель Hayabusa — извлечь только полезные данные и представить их в максимально сжатом и удобном для чтения формате, который будет доступен не только профессионально подготовленным аналитикам, но и любому системному администратору Windows. Хаябуса надеется, что аналитики смогут выполнить 80% своей работы за 20% времени по сравнению с традиционным анализом журнала событий Windows.

Вы можете узнать, как анализировать временные шкалы CSV в Excel и Timeline Explorer здесь.

Вы можете узнать, как импортировать файлы CSV в Elastic Stack здесь.

Вы можете узнать, как импортировать файлы CSV в Timesketch здесь.

Вы можете узнать, как анализировать результаты в формате JSON с помощью jq здесь.

• Кроссплатформенная поддержка: Windows, Linux, macOS.
• Разработан на Rust для обеспечения безопасности и скорости работы с памятью.
• Поддержка многопоточности, обеспечивающая повышение скорости до 5 раз.
• Создает единые, удобные для анализа сроки проведения судебно-медицинских расследований и реагирования на инциденты.
• Охота на угрозы на основе сигнатур IoC, написанных с помощью простых для чтения/создания/редактирования правил Hayabusa на основе YML.
• Поддержка правил Sigma для преобразования правил Sigma в правила Hayabusa.
• В настоящее время он поддерживает большинство сигма-правил по сравнению с другими аналогичными инструментами и даже поддерживает правила подсчета и новые агрегаторы, такие как |equalsfield и |endswithfield .
• Компьютерные метрики. (Полезно для фильтрации включения/выключения определенных компьютеров с большим количеством событий.)
• Метрики идентификаторов событий. (Полезно для получения представления о типах событий и для настройки параметров журнала.)
• Настройка правил путем исключения ненужных или «шумных» правил.
• MITRE ATT&CK картографирование тактики.
• Настройка уровня правил.
• Создайте список уникальных ключевых слов, чтобы быстро идентифицировать ненормальных пользователей, имена хостов, процессы и т. д., а также коррелировать события.
• Выведите все поля для более тщательного расследования.
• Сводка успешных и неудачных входов в систему.
• Поиск угроз в масштабе всего предприятия и DFIR на всех конечных точках с помощью Velociraptor.
• Вывод в сводные отчеты CSV, JSON/JSONL и HTML.
• Ежедневные обновления правил Sigma.
• Поддержка ввода журнала в формате JSON.
• Нормализация полей журнала. (Преобразование нескольких полей с разными соглашениями об именах в одно и то же имя поля.)
• Обогащение журнала путем добавления информации GeoIP (ASN, город, страна) к IP-адресам.
• Поиск всех событий по ключевым словам или регулярным выражениям.
• Сопоставление полевых данных. (Пример: 0xc0000234 -> ACCOUNT LOCKED )
• Вырезание записей Evtx из слабого пространства evtx.
• Дедупликация событий при выводе. (Полезно, когда включены записи восстановления или когда вы включаете резервные копии файлов evtx, файлов evtx из VSS и т. д.)
• Мастер настройки сканирования, упрощающий выбор правил для включения. (Чтобы уменьшить количество ложных срабатываний и т. д.)
• Классический анализ и извлечение полей журнала PowerShell.
• Низкое использование памяти. (Примечание: это возможно, если не сортировать результаты. Лучше всего подходит для работы с агентами или большими данными.)
• Фильтрация по каналам и правилам для наиболее эффективной работы.

Загрузите последнюю стабильную версию Hayabusa со скомпилированными двоичными файлами или скомпилируйте исходный код со страницы «Релизы».

Мы предоставляем двоичные файлы для следующих архитектур:

• Linux ARM 64-бит GNU ( hayabusa-xxx-lin-aarch64-gnu )
• Linux Intel 64-битный GNU ( hayabusa-xxx-lin-x64-gnu )
• Linux Intel 64-бит MUSL ( hayabusa-xxx-lin-x64-musl )
• 64-разрядная версия macOS ARM ( hayabusa-xxx-mac-aarch64 )
• macOS Intel 64-разрядная версия ( hayabusa-xxx-mac-x64 )
• Windows ARM 64-разрядная версия ( hayabusa-xxx-win-aarch64.exe )
• Windows Intel 64-разрядная версия ( hayabusa-xxx-win-x64.exe )
• Windows Intel 32-разрядная версия ( hayabusa-xxx-win-x86.exe )

По какой-то причине двоичный файл Linux ARM MUSL не работает должным образом, поэтому мы не предоставляем этот двоичный файл. Эта проблема находится вне нашего контроля, поэтому мы планируем предоставить ее в будущем, когда она будет исправлена.

Начиная с версии 2.18.0, мы предоставляем специальные пакеты Windows, которые используют правила в кодировке XOR, представленные в одном файле, а также все файлы конфигурации, объединенные в один файл (размещенный в репозитории hayabusa-encoded-rules). Просто загрузите zip-пакеты с live-response в названии. ZIP-файлы включают всего три файла: двоичный файл Hayabusa, файл правил в кодировке XOR и файл конфигурации. Целью этих пакетов оперативного ответа является то, что при запуске Hayabusa на конечных точках клиента мы хотим быть уверены, что антивирусные сканеры, такие как Защитник Windows, не выдают ложных срабатываний в файлах правил .yml . Кроме того, мы хотим свести к минимуму количество файлов, записываемых в систему, чтобы такие артефакты криминалистической экспертизы, как журнал USN Journal, не перезаписывались.

Вы можете git clone с помощью следующей команды и скомпилировать двоичный файл из исходного кода:

Предупреждение: основная ветка репозитория предназначена для целей разработки, поэтому вы можете получить доступ к новым функциям, еще официально не выпущенным, однако могут быть ошибки, поэтому считайте его нестабильным.

git clone https://github.com/Yamato-Security/hayabusa.git --recursive

Примечание. Если вы забудете использовать параметр --recursive, папка rules , которая управляется как подмодуль git, не будет клонирована.

Вы можете синхронизировать папку rules и получить последние версии правил Hayabusa с помощью git pull --recurse-submodules или использовать следующую команду:

hayabusa.exe update-rules

Если обновление не удалось, возможно, вам придется переименовать папку rules и повторить попытку.

Внимание: При обновлении правила и файлы конфигурации в папке rules заменяются новейшими правилами и файлами конфигурации из репозитория hayabusa-rules. Любые изменения, внесенные вами в существующие файлы, будут перезаписаны, поэтому мы рекомендуем вам делать резервные копии всех файлов, которые вы редактируете, перед обновлением. Если вы выполняете настройку уровня с помощью level-tuning , перенастраивайте файлы правил после каждого обновления. Если вы добавите новые правила в папку rules , они не будут перезаписаны или удалены при обновлении.

Если у вас установлен Rust, вы можете скомпилировать его из исходного кода с помощью следующей команды:

Примечание. Для компиляции обычно требуется последняя версия Rust.

cargo build --release

Вы можете скачать последнюю нестабильную версию из основной ветки или последнюю стабильную версию со страницы Релизы.

Обязательно периодически обновляйте Rust:

rustup update stable

Скомпилированный двоичный файл будет выведен в папку ./target/release .

Вы можете обновить крейты Rust до последней версии перед компиляцией:

cargo update

Пожалуйста, дайте нам знать, если что-то сломается после обновления.

Вы можете создавать 32-битные двоичные файлы в 64-битных системах Windows с помощью следующих средств:

rustup install stable-i686-pc-windows-msvc
rustup target add i686-pc-windows-msvc
rustup run stable-i686-pc-windows-msvc cargo build --release

Предупреждение: Обязательно запускайте rustup install stable-i686-pc-windows-msvc всякий раз, когда появляется новая стабильная версия Rust, поскольку rustup update stable не будет обновлять компилятор для кросс-компиляции, и вы можете получить ошибки сборки.

Если вы получаете ошибки компиляции openssl, вам необходимо установить Homebrew, а затем установить следующие пакеты:

brew install pkg-config
brew install openssl

Если вы получаете ошибки компиляции openssl, вам необходимо установить следующий пакет.

Дистрибутивы на базе Ubuntu:

sudo apt install libssl-dev

Дистрибутивы на базе Fedora:

sudo yum install openssl-devel

В ОС Linux сначала установите цель.

rustup install stable-x86_64-unknown-linux-musl
rustup target add x86_64-unknown-linux-musl

Скомпилировать с помощью:

cargo build --release --target=x86_64-unknown-linux-musl

Предупреждение: Обязательно запускайте rustup install stable-x86_64-unknown-linux-musl всякий раз, когда появляется новая стабильная версия Rust, поскольку rustup update stable не будет обновлять компилятор для кросс-компиляции, и вы можете получить ошибки сборки.

Бинарный файл MUSL будет создан в каталоге ./target/x86_64-unknown-linux-musl/release/ . Двоичные файлы MUSL примерно на 15% медленнее, чем двоичные файлы GNU, однако они более переносимы в разные версии и дистрибутивы Linux.

Вы можете получить предупреждение от антивирусных продуктов или продуктов EDR при попытке запустить hayabusa или даже просто при загрузке правил .yml , поскольку в сигнатуре обнаружения будут такие ключевые слова, как mimikatz и подозрительные команды PowerShell. Это ложные срабатывания, поэтому вам потребуется настроить исключения в ваших продуктах безопасности, чтобы разрешить запуск hayabusa. Если вы беспокоитесь о вредоносном ПО или атаках на цепочку поставок, проверьте исходный код hayabusa и скомпилируйте двоичные файлы самостоятельно.

Вы можете столкнуться с замедлением работы, особенно при первом запуске после перезагрузки, из-за защиты Защитника Windows в реальном времени. Вы можете избежать этого, временно отключив постоянную защиту или добавив исключение в каталог времени выполнения hayabusa. (Пожалуйста, примите во внимание риски безопасности, прежде чем делать это.)

В командной строке/подсказке PowerShell или терминале Windows просто запустите соответствующий двоичный файл 32- или 64-разрядной версии Windows.

При использовании встроенной командной строки или приглашения PowerShell в Windows вы можете получить сообщение об ошибке, сообщающее, что Hayabusa не смог загрузить файлы .evtx, если в пути к вашему файлу или каталогу есть пробел. Чтобы правильно загрузить файлы .evtx, обязательно выполните следующие действия:

1. Заключите путь к файлу или каталогу в двойные кавычки.
2. Если это путь к каталогу, убедитесь, что вы не включили обратную косую черту в качестве последнего символа.

Сначала вам нужно сделать двоичный исполняемый файл.

chmod +x ./hayabusa

Затем запустите его из корневого каталога Hayabusa:

./hayabusa

В Терминале или iTerm2 сначала необходимо создать исполняемый двоичный файл.

chmod +x ./hayabusa

Затем попробуйте запустить его из корневого каталога Hayabusa:

./hayabusa

В последней версии macOS при попытке запуска вы можете получить следующую ошибку безопасности:

Нажмите «Отмена», а затем в «Системных настройках» откройте «Безопасность и конфиденциальность» и на вкладке «Общие» нажмите «Все равно разрешить».

После этого попробуйте запустить его еще раз.

./hayabusa

Появится следующее предупреждение, поэтому нажмите «Открыть».

Теперь вы сможете запустить hayabusa.

• computer-metrics : выведите количество событий на основе имен компьютеров.
• eid-metrics : выводит количество и процент событий на основе идентификатора события.
• logon-summary : вывести сводку событий входа в систему.
• pivot-keywords-list : Распечатайте список подозрительных ключевых слов для поворота.
• search : поиск всех событий по ключевым словам или регулярным выражениям.

• csv-timeline : сохраните временную шкалу в формате CSV.
• json-timeline : сохраните временную шкалу в формате JSON/JSONL.
• level-tuning : Пользовательская настройка level оповещений.
• list-profiles : список доступных выходных профилей.
• set-default-profile : изменить профиль по умолчанию.
• update-rules : синхронизируйте правила с последними правилами в репозитории hayabusa-rules на GitHub.

• help : Распечатать это сообщение или справку по данной подкоманде(ам).
• list-contributors : Распечатать список участников.

Вы можете использовать команду computer-metrics , чтобы проверить количество событий для каждого компьютера, определенного в поле <System><Computer> . Имейте в виду, что вы не можете полностью полагаться на поле Computer для разделения событий по исходному компьютеру. Windows 11 иногда использует совершенно разные имена Computer при сохранении в журналах событий. Кроме того, Windows 10 иногда записывает имя Computer строчными буквами. Эта команда не использует никаких правил обнаружения, поэтому анализирует все события. Это хорошая команда, которую можно запустить, чтобы быстро увидеть, на каких компьютерах больше всего журналов. Используя эту информацию, вы затем можете использовать параметры --include-computer или --exclude-computer при создании временных шкал, чтобы сделать создание временной шкалы более эффективным, создавая несколько временных шкал в зависимости от компьютера или исключая события с определенных компьютеров.

 Usage: computer-metrics <INPUT> [OPTIONS]

Input:
  -d, --directory <DIR>  Directory of multiple .evtx files
  -f, --file <FILE>      File path to one .evtx file
  -l, --live-analysis    Analyze the local C:WindowsSystem32winevtLogs folder

General Options:
  -C, --clobber                        Overwrite files when saving
  -h, --help                           Show the help menu
  -J, --JSON-input                     Scan JSON formatted logs instead of .evtx (.json or .jsonl)
  -Q, --quiet-errors                   Quiet errors mode: do not save error logs
  -x, --recover-records                Carve evtx records from slack space (default: disabled)
  -c, --rules-config <DIR>             Specify custom rule config directory (default: ./rules/config)
      --target-file-ext <FILE-EXT...>  Specify additional evtx file extensions (ex: evtx_data)
  -t, --threads <NUMBER>               Number of threads (default: optimal number for performance)

Filtering:
      --timeline-offset <OFFSET>  Scan recent events based on an offset (ex: 1y, 3M, 30d, 24h, 30m)

Output:
  -o, --output <FILE>  Save the results in CSV format (ex: computer-metrics.csv)

Display Settings:
      --no-color  Disable color output
  -q, --quiet     Quiet mode: do not display the launch banner
  -v, --verbose   Output verbose information

• Распечатать метрики имени компьютера из каталога: hayabusa.exe computer-metrics -d ../logs
• Сохраните результаты в файл CSV: hayabusa.exe computer-metrics -d ../logs -o computer-metrics.csv

Вы можете использовать команду eid-metrics , чтобы распечатать общее количество и процент идентификаторов событий (поле <System><EventID> ), разделенных по каналам. Эта команда не использует никаких правил обнаружения, поэтому сканирует все события.

 Usage: eid-metrics <INPUT> [OPTIONS]

Input:
  -d, --directory <DIR>  Directory of multiple .evtx files
  -f, --file <FILE>      File path to one .evtx file
  -l, --live-analysis    Analyze the local C:WindowsSystem32winevtLogs folder

General Options:
  -C, --clobber                        Overwrite files when saving
  -h, --help                           Show the help menu
  -J, --JSON-input                     Scan JSON formatted logs instead of .evtx (.json or .jsonl)
  -Q, --quiet-errors                   Quiet errors mode: do not save error logs
  -x, --recover-records                Carve evtx records from slack space (default: disabled)
  -c, --rules-config <DIR>             Specify custom rule config directory (default: ./rules/config)
      --target-file-ext <FILE-EXT...>  Specify additional evtx file extensions (ex: evtx_data)
  -t, --threads <NUMBER>               Number of threads (default: optimal number for performance)

Filtering:
      --exclude-computer <COMPUTER...>  Do not scan specified computer names (ex: ComputerA) (ex: ComputerA,ComputerB)
      --include-computer <COMPUTER...>  Scan only specified computer names (ex: ComputerA) (ex: ComputerA,ComputerB)
      --timeline-offset <OFFSET>        Scan recent events based on an offset (ex: 1y, 3M, 30d, 24h, 30m)

Output:
  -o, --output <FILE>  Save the Metrics in CSV format (ex: metrics.csv)

Display Settings:
      --no-color  Disable color output
  -q, --quiet     Quiet mode: do not display the launch banner
  -v, --verbose   Output verbose information

Time Format:
      --European-time     Output timestamp in European time format (ex: 22-02-2022 22:00:00.123 +02:00)
      --ISO-8601          Output timestamp in ISO-8601 format (ex: 2022-02-22T10:10:10.1234567Z) (Always UTC)
      --RFC-2822          Output timestamp in RFC 2822 format (ex: Fri, 22 Feb 2022 22:00:00 -0600)
      --RFC-3339          Output timestamp in RFC 3339 format (ex: 2022-02-22 22:00:00.123456-06:00)
      --US-military-time  Output timestamp in US military time format (ex: 02-22-2022 22:00:00.123 -06:00)
      --US-time           Output timestamp in US time format (ex: 02-22-2022 10:00:00.123 PM -06:00)
  -U, --UTC               Output time in UTC format (default: local time)

• Распечатать метрики идентификаторов событий из одного файла: hayabusa.exe eid-metrics -f Security.evtx
• Распечатать метрики идентификатора события из каталога: hayabusa.exe eid-metrics -d ../logs
• Сохраните результаты в файл CSV: hayabusa.exe eid-metrics -f Security.evtx -o eid-metrics.csv

Канал, идентификаторы событий и названия событий определяются в rules/config/channel_eid_info.txt .

Пример:

 Channel,EventID,EventTitle
Microsoft-Windows-Sysmon/Operational,1,Process Creation.
Microsoft-Windows-Sysmon/Operational,2,File Creation Timestamp Changed. (Possible Timestomping)
Microsoft-Windows-Sysmon/Operational,3,Network Connection.
Microsoft-Windows-Sysmon/Operational,4,Sysmon Service State Changed.

Вы можете использовать команду logon-summary для вывода сводной информации о входе в систему (имена пользователей, а также количество успешных и неудачных входов). Вы можете отобразить информацию для входа в систему для одного файла evtx с помощью -f или нескольких файлов evtx с параметром -d .

 Usage: logon-summary <INPUT> [OPTIONS]

Input:
  -d, --directory <DIR>  Directory of multiple .evtx files
  -f, --file <FILE>      File path to one .evtx file
  -l, --live-analysis    Analyze the local C:WindowsSystem32winevtLogs folder

General Options:
  -C, --clobber                        Overwrite files when saving
  -h, --help                           Show the help menu
  -J, --JSON-input                     Scan JSON formatted logs instead of .evtx (.json or .jsonl)
  -Q, --quiet-errors                   Quiet errors mode: do not save error logs
  -x, --recover-records                Carve evtx records from slack space (default: disabled)
  -c, --rules-config <DIR>             Specify custom rule config directory (default: ./rules/config)
      --target-file-ext <FILE-EXT...>  Specify additional evtx file extensions (ex: evtx_data)
  -t, --threads <NUMBER>               Number of threads (default: optimal number for performance)

Filtering:
      --exclude-computer <COMPUTER...>  Do not scan specified computer names (ex: ComputerA) (ex: ComputerA,ComputerB)
      --include-computer <COMPUTER...>  Scan only specified computer names (ex: ComputerA) (ex: ComputerA,ComputerB)
      --timeline-end <DATE>             End time of the event logs to load (ex: "2022-02-22 23:59:59 +09:00")
      --timeline-offset <OFFSET>        Scan recent events based on an offset (ex: 1y, 3M, 30d, 24h, 30m)
      --timeline-start <DATE>           Start time of the event logs to load (ex: "2020-02-22 00:00:00 +09:00")

Output:
  -o, --output <FILENAME-PREFIX>  Save the logon summary to two CSV files (ex: -o logon-summary)

Display Settings:
      --no-color  Disable color output
  -q, --quiet     Quiet mode: do not display the launch banner
  -v, --verbose   Output verbose information

Time Format:
      --European-time     Output timestamp in European time format (ex: 22-02-2022 22:00:00.123 +02:00)
      --ISO-8601          Output timestamp in ISO-8601 format (ex: 2022-02-22T10:10:10.1234567Z) (Always UTC)
      --RFC-2822          Output timestamp in RFC 2822 format (ex: Fri, 22 Feb 2022 22:00:00 -0600)
      --RFC-3339          Output timestamp in RFC 3339 format (ex: 2022-02-22 22:00:00.123456-06:00)
      --US-military-time  Output timestamp in US military time format (ex: 02-22-2022 22:00:00.123 -06:00)
      --US-time           Output timestamp in US time format (ex: 02-22-2022 10:00:00.123 PM -06:00)
  -U, --UTC               Output time in UTC format (default: local time)

• Распечатать сводку входа в систему: hayabusa.exe logon-summary -f Security.evtx
• Сохраните результаты сводки входа в систему: hayabusa.exe logon-summary -d ../logs -o logon-summary.csv

Вы можете использовать команду pivot-keywords-list для создания списка уникальных ключевых слов для быстрого выявления необычных пользователей, имен хостов, процессов и т. д., а также для корреляции событий.

Важно: по умолчанию hayabusa будет возвращать результаты всех событий (информационных и выше), поэтому мы настоятельно рекомендуем комбинировать команду pivot-keywords-list с опцией -m, --min-level . Например, начните с создания ключевых слов только из critical предупреждений с -m critical , а затем продолжите с -m high , -m medium и т. д. Скорее всего, в ваших результатах будут общие ключевые слова, которые будут совпадать со многими обычными событиями, поэтому после ручной проверки результатов и создания списка уникальных ключевых слов в одном файле вы можете создать сокращенную временную шкалу подозрительной активности с помощью такой команды, как grep -f keywords.txt timeline.csv .

 Usage: pivot-keywords-list <INPUT> [OPTIONS]

Input:
  -d, --directory <DIR>  Directory of multiple .evtx files
  -f, --file <FILE>      File path to one .evtx file
  -l, --live-analysis    Analyze the local C:WindowsSystem32winevtLogs folder

General Options:
  -C, --clobber                        Overwrite files when saving
  -h, --help                           Show the help menu
  -J, --JSON-input                     Scan JSON formatted logs instead of .evtx (.json or .jsonl)
  -w, --no-wizard                      Do not ask questions. Scan for all events and alerts
  -Q, --quiet-errors                   Quiet errors mode: do not save error logs
  -x, --recover-records                Carve evtx records from slack space (default: disabled)
  -c, --rules-config <DIR>             Specify custom rule config directory (default: ./rules/config)
      --target-file-ext <FILE-EXT...>  Specify additional evtx file extensions (ex: evtx_data)
  -t, --threads <NUMBER>               Number of threads (default: optimal number for performance)

Filtering:
  -E, --EID-filter                      Scan only common EIDs for faster speed (./rules/config/target_event_IDs.txt)
  -D, --enable-deprecated-rules         Enable rules with a status of deprecated
  -n, --enable-noisy-rules              Enable rules set to noisy (./rules/config/noisy_rules.txt)
  -u, --enable-unsupported-rules        Enable rules with a status of unsupported
  -e, --exact-level <LEVEL>             Only load rules with a specific level (informational, low, medium, high, critical)
      --exclude-computer <COMPUTER...>  Do not scan specified computer names (ex: ComputerA) (ex: ComputerA,ComputerB)
      --exclude-eid <EID...>            Do not scan specific EIDs for faster speed (ex: 1) (ex: 1,4688)
      --exclude-status <STATUS...>      Do not load rules according to status (ex: experimental) (ex: stable,test)
      --exclude-tag <TAG...>            Do not load rules with specific tags (ex: sysmon)
      --include-computer <COMPUTER...>  Scan only specified computer names (ex: ComputerA) (ex: ComputerA,ComputerB)
      --include-eid <EID...>            Scan only specified EIDs for faster speed (ex: 1) (ex: 1,4688)
      --include-status <STATUS...>      Only load rules with specific status (ex: experimental) (ex: stable,test)
      --include-tag <TAG...>            Only load rules with specific tags (ex: attack.execution,attack.discovery)
  -m, --min-level <LEVEL>               Minimum level for rules to load (default: informational)
      --timeline-end <DATE>             End time of the event logs to load (ex: "2022-02-22 23:59:59 +09:00")
      --timeline-offset <OFFSET>        Scan recent events based on an offset (ex: 1y, 3M, 30d, 24h, 30m)
      --timeline-start <DATE>           Start time of the event logs to load (ex: "2020-02-22 00:00:00 +09:00")

Output:
  -o, --output <FILENAME-PREFIX>  Save pivot words to separate files (ex: PivotKeywords)

Display Settings:
      --no-color  Disable color output
  -q, --quiet     Quiet mode: do not display the launch banner
  -v, --verbose   Output verbose information

• Вывод ключевых слов на экран: hayabusa.exe pivot-keywords-list -d ../logs -m critical
• Создайте список ключевых слов на основе критических предупреждений и сохраните результаты. (Результаты будут сохранены в keywords-Ip Addresses.txt , keywords-Users.txt и т. д.):

 hayabusa.exe pivot-keywords-list -d ../logs -m critical -o keywords`

Вы можете настроить ключевые слова, по которым хотите искать, отредактировав ./rules/config/pivot_keywords.txt . Эта страница является настройкой по умолчанию.

Формат: KeywordName.FieldName . Например, при создании списка Users hayabusa выводит все значения в полях SubjectUserName , TargetUserName и User .

Команда search позволит вам выполнять поиск по ключевым словам по всем событиям. (Не только результаты обнаружения Hayabusa.) Это полезно для определения наличия каких-либо доказательств в событиях, которые не обнаружены Hayabusa.

 Usage: hayabusa.exe search <INPUT> <--keywords "<KEYWORDS>" OR --regex "<REGEX>"> [OPTIONS]

Display Settings:
      --no-color  Disable color output
  -q, --quiet     Quiet mode: do not display the launch banner
  -v, --verbose   Output verbose information

General Options:
  -C, --clobber                        Overwrite files when saving
  -h, --help                           Show the help menu
  -Q, --quiet-errors                   Quiet errors mode: do not save error logs
  -x, --recover-records                Carve evtx records from slack space (default: disabled)
  -c, --rules-config <DIR>             Specify custom rule config directory (default: ./rules/config)
      --target-file-ext <FILE-EXT...>  Specify additional evtx file extensions (ex: evtx_data)
  -t, --threads <NUMBER>               Number of threads (default: optimal number for performance)

Input:
  -d, --directory <DIR>  Directory of multiple .evtx files
  -f, --file <FILE>      File path to one .evtx file
  -l, --live-analysis    Analyze the local C:WindowsSystem32winevtLogs folder

Filtering:
  -a, --and-logic                 Search keywords with AND logic (default: OR)
  -F, --filter <FILTER...>        Filter by specific field(s)
  -i, --ignore-case               Case-insensitive keyword search
  -k, --keyword <KEYWORD...>      Search by keyword(s)
  -r, --regex <REGEX>             Search by regular expression
      --timeline-offset <OFFSET>  Scan recent events based on an offset (ex: 1y, 3M, 30d, 24h, 30m)

Output:
  -J, --JSON-output    Save the search results in JSON format (ex: -J -o results.json)
  -L, --JSONL-output   Save the search results in JSONL format (ex: -L -o results.jsonl)
  -M, --multiline      Output event field information in multiple rows for CSV output
  -o, --output <FILE>  Save the search results in CSV format (ex: search.csv)

Time Format:
      --European-time     Output timestamp in European time format (ex: 22-02-2022 22:00:00.123 +02:00)
      --ISO-8601          Output timestamp in ISO-8601 format (ex: 2022-02-22T10:10:10.1234567Z) (Always UTC)
      --RFC-2822          Output timestamp in RFC 2822 format (ex: Fri, 22 Feb 2022 22:00:00 -0600)
      --RFC-3339          Output timestamp in RFC 3339 format (ex: 2022-02-22 22:00:00.123456-06:00)
      --US-military-time  Output timestamp in US military time format (ex: 02-22-2022 22:00:00.123 -06:00)
      --US-time           Output timestamp in US time format (ex: 02-22-2022 10:00:00.123 PM -06:00)
  -U, --UTC               Output time in UTC format (default: local time)

• Найдите в каталоге ../hayabusa-sample-evtx ключевое слово mimikatz :