hayabusa
v2.18.0 ?
Hayabusa 是由日本 Yamato 安全小组创建的Windows 事件日志快速取证时间线生成器和威胁搜寻工具。 Hayabusa 在日语中的意思是“游隼”,之所以被选中是因为游隼是世界上跑得最快的动物,擅长狩猎且易于训练。它是用 Rust 编写的,并支持多线程,以便尽可能快。我们提供了一个将 Sigma 规则转换为 Hayabusa 规则格式的工具。与 Sigma 兼容的 Hayabusa 检测规则是用 YML 编写的,以便尽可能轻松地定制和扩展。 Hayabusa 可以在单个运行系统上运行以进行实时分析,通过从单个或多个系统收集日志进行离线分析,或者通过 Velociraptor 运行 Hayabusa 工件以进行企业范围的威胁搜寻和事件响应。输出将合并到单个 CSV 时间线中,以便在 LibreOffice、Timeline Explorer、Elastic Stack、Timesketch 等中轻松分析...
evtx箱的一个维护得更好的分支。-T选项)-H选项)-M多行输出)computer-metrics命令computer-metrics命令示例computer-metrics截图eid-metrics命令eid-metrics命令示例eid-metrics命令配置文件eid-metrics截图logon-summary命令logon-summary命令示例logon-summarypivot-keywords-list命令pivot-keywords-list命令示例pivot-keywords-list配置文件search命令search命令示例search命令配置文件csv-timeline命令csv-timeline命令示例csv-timeline命令配置文件json-timeline命令json-timeline命令示例和配置文件level-tuning命令level-tuning命令示例level-tuning配置文件list-profiles命令set-default-profile命令set-default-profile命令示例update-rules命令update-rules命令示例minimal文件输出standard文件输出verbose文件输出all-field-info配置文件输出all-field-info-verbose配置文件输出super-verbose文件输出timesketch-minimal轮廓输出timesketch-verbose配置文件输出Hayabusa 目前拥有超过 4000 条 Sigma 规则和超过 170 条 Hayabusa 内置检测规则,并且会定期添加更多规则。它可用于企业范围内的主动威胁搜寻以及免费的 DFIR(数字取证和事件响应)以及 Velociraptor 的 Hayabusa 工件。通过结合这两个开源工具,当环境中没有 SIEM 设置时,您基本上可以追溯地重现 SIEM。您可以在此处观看 Eric Capuano 的 Velociraptor 演练,了解如何执行此操作。
传统上,Windows 事件日志分析是一个非常漫长且乏味的过程,因为 Windows 事件日志 1) 采用难以分析的数据格式,2) 大部分数据都是噪音,对调查没有用处。 Hayabusa 的目标是只提取有用的数据,并以尽可能简洁、易于阅读的格式呈现,不仅可供受过专业培训的分析师使用,而且任何 Windows 系统管理员都可以使用。与传统的 Windows 事件日志分析相比,Hayabusa 希望让分析师在 20% 的时间内完成 80% 的工作。
-T选项) 
-H选项) 
-M多行输出) 
您可以在此处了解如何在 Excel 和时间线资源管理器中分析 CSV 时间线。
您可以在此处了解如何将 CSV 文件导入 Elastic Stack。
您可以在此处了解如何将 CSV 文件导入 Timesketch。
您可以在此处了解如何使用jq分析 JSON 格式的结果。
|equalsfield和|endswithfield 。0xc0000234 -> ACCOUNT LOCKED )请下载最新稳定版本的 Hayabusa 及其编译的二进制文件,或从发布页面编译源代码。
我们为以下架构提供二进制文件:
hayabusa-xxx-lin-aarch64-gnu )hayabusa-xxx-lin-x64-gnu )hayabusa-xxx-lin-x64-musl )hayabusa-xxx-mac-aarch64 )hayabusa-xxx-mac-x64 )hayabusa-xxx-win-aarch64.exe )hayabusa-xxx-win-x64.exe )hayabusa-xxx-win-x86.exe )由于某种原因,Linux ARM MUSL 二进制文件无法正常运行,因此我们不提供该二进制文件。这是我们无法控制的,因此我们计划在将来修复后提供它。
从 v2.18.0 开始,我们提供了特殊的 Windows 软件包,这些软件包使用单个文件中提供的 XOR 编码规则以及组合到单个文件中的所有配置文件(托管在 hayabusa-encoded-rules 存储库中)。只需下载名称中带有live-response zip 包即可。 zip 文件仅包含三个文件:Hayabusa 二进制文件、XOR 编码的规则文件和配置文件。这些实时响应包的目的是在客户端端点上运行 Hayabusa 时,我们希望确保 Windows Defender 等防病毒扫描程序不会对.yml规则文件给出误报。此外,我们希望最大限度地减少写入系统的文件量,以便像 USN Journal 这样的取证工件不会被覆盖。
您可以使用以下命令git clone存储库并从源代码编译二进制文件:
警告:存储库的主分支用于开发目的,因此您可能能够访问尚未正式发布的新功能,但是,可能存在错误,因此请考虑它不稳定。
git clone https://github.com/Yamato-Security/hayabusa.git --recursive注意:如果您忘记使用 --recursive 选项,则作为 git 子模块管理的
rules文件夹将不会被克隆。
您可以使用git pull --recurse-submodules同步rules夹并获取最新的 Hayabusa 规则或使用以下命令:
hayabusa.exe update-rules如果更新失败,您可能需要重命名rules文件夹并重试。
注意:更新时,
rules文件夹中的规则和配置文件将替换为 hayabusa-rules 存储库中的最新规则和配置文件。您对现有文件所做的任何更改都将被覆盖,因此我们建议您在更新之前对编辑的任何文件进行备份。如果您使用level-tuning执行级别调整,请在每次更新后重新调整您的规则文件。如果您在rules文件夹内添加新规则,则更新时它们不会被覆盖或删除。
如果安装了 Rust,则可以使用以下命令从源代码进行编译:
注意:要编译,您通常需要最新版本的 Rust。
cargo build --release您可以从主分支下载最新的不稳定版本,或者从发布页面下载最新的稳定版本。
请务必定期更新 Rust:
rustup update stable编译后的二进制文件将输出到./target/release文件夹中。
您可以在编译之前更新到最新的 Rust crate:
cargo update更新后如果出现任何问题,请告诉我们。
您可以使用以下命令在 64 位 Windows 系统上创建 32 位二进制文件:
rustup install stable-i686-pc-windows-msvc
rustup target add i686-pc-windows-msvc
rustup run stable-i686-pc-windows-msvc cargo build --release警告:只要有新的 Rust 稳定版本,请务必运行
rustup install stable-i686-pc-windows-msvc因为rustup update stable不会更新编译器以进行交叉编译,并且您可能会收到构建错误。
如果收到有关 openssl 的编译错误,则需要安装 Homebrew,然后安装以下软件包:
brew install pkg-config
brew install openssl如果收到有关 openssl 的编译错误,则需要安装以下软件包。
基于 Ubuntu 的发行版:
sudo apt install libssl-dev基于 Fedora 的发行版:
sudo yum install openssl-devel在 Linux 操作系统上,首先安装目标。
rustup install stable-x86_64-unknown-linux-musl
rustup target add x86_64-unknown-linux-musl编译:
cargo build --release --target=x86_64-unknown-linux-musl警告:只要有新的 Rust 稳定版本,请务必运行
rustup install stable-x86_64-unknown-linux-musl因为rustup update stable不会更新编译器以进行交叉编译,并且您可能会收到构建错误。
MUSL 二进制文件将在./target/x86_64-unknown-linux-musl/release/目录中创建。 MUSL 二进制文件比 GNU 二进制文件慢大约 15%,但是,它们在 Linux 的不同版本和发行版之间更易于移植。
当尝试运行 hayabusa 时,甚至只是在下载.yml规则时,您可能会收到来自防病毒或 EDR 产品的警报,因为检测签名中会有mimikatz和可疑 PowerShell 命令等关键字。这些都是误报,因此需要在安全产品中配置排除项以允许 hayabusa 运行。如果您担心恶意软件或供应链攻击,请检查 hayabusa 源代码并自行编译二进制文件。
由于 Windows Defender 的实时保护,您可能会遇到运行速度缓慢的情况,尤其是在重新启动后的首次运行时。您可以通过暂时关闭实时保护或向 hayabusa 运行时目录添加排除项来避免这种情况。 (在执行这些操作之前请考虑安全风险。)
在命令/PowerShell 提示符或 Windows 终端中,只需运行适当的 32 位或 64 位 Windows 二进制文件。
在 Windows 中使用内置命令或 PowerShell 提示符时,如果文件或目录路径中有空格,您可能会收到一条错误消息,指出 Hayabusa 无法加载任何 .evtx 文件。为了正确加载 .evtx 文件,请务必执行以下操作:
您首先需要使二进制可执行文件。
chmod +x ./hayabusa然后从 Hayabusa 根目录运行它:
./hayabusa从终端或 iTerm2,您首先需要使二进制可执行文件。
chmod +x ./hayabusa然后,尝试从 Hayabusa 根目录运行它:
./hayabusa在最新版本的 macOS 上,当您尝试运行它时可能会收到以下安全错误:
单击“取消”,然后从“系统偏好设置”中打开“安全和隐私”,然后从“常规”选项卡中单击“仍然允许”。
之后,尝试再次运行它。
./hayabusa会弹出以下警告,请点击“打开”。
您现在应该能够运行 hayabusa。
computer-metrics :根据计算机名称打印事件数。eid-metrics :根据事件 ID 打印事件的数量和百分比。logon-summary :打印登录事件的摘要。pivot-keywords-list :打印要旋转的可疑关键字列表。search :通过关键字或正则表达式搜索所有事件csv-timeline :以 CSV 格式保存时间线。json-timeline :以 JSON/JSONL 格式保存时间线。level-tuning :自定义调整警报的level 。list-profiles :列出可用的输出配置文件。set-default-profile :更改默认配置文件。update-rules :将规则同步到 hayabusa-rules GitHub 存储库中的最新规则。 help : 打印此消息或给定子命令的帮助list-contributors :打印贡献者列表computer-metrics命令您可以使用computer-metrics命令来检查根据<System><Computer>字段中定义的每台计算机有多少个事件。请注意,您不能完全依赖Computer字段来按事件的原始计算机来分隔事件。保存到事件日志时,Windows 11 有时会使用完全不同的Computer名称。此外,Windows 10 有时会以全小写形式记录Computer名称。该命令不使用任何检测规则,因此将分析所有事件。这是一个很好的命令,可以运行它来快速查看哪些计算机拥有最多的日志。有了这些信息,您就可以在创建时间线时使用--include-computer或--exclude-computer选项,通过根据计算机创建多个时间线或排除来自某些计算机的事件来提高时间线生成的效率。
Usage: computer-metrics <INPUT> [OPTIONS]
Input:
-d, --directory <DIR> Directory of multiple .evtx files
-f, --file <FILE> File path to one .evtx file
-l, --live-analysis Analyze the local C:WindowsSystem32winevtLogs folder
General Options:
-C, --clobber Overwrite files when saving
-h, --help Show the help menu
-J, --JSON-input Scan JSON formatted logs instead of .evtx (.json or .jsonl)
-Q, --quiet-errors Quiet errors mode: do not save error logs
-x, --recover-records Carve evtx records from slack space (default: disabled)
-c, --rules-config <DIR> Specify custom rule config directory (default: ./rules/config)
--target-file-ext <FILE-EXT...> Specify additional evtx file extensions (ex: evtx_data)
-t, --threads <NUMBER> Number of threads (default: optimal number for performance)
Filtering:
--timeline-offset <OFFSET> Scan recent events based on an offset (ex: 1y, 3M, 30d, 24h, 30m)
Output:
-o, --output <FILE> Save the results in CSV format (ex: computer-metrics.csv)
Display Settings:
--no-color Disable color output
-q, --quiet Quiet mode: do not display the launch banner
-v, --verbose Output verbose information
computer-metrics命令示例hayabusa.exe computer-metrics -d ../logshayabusa.exe computer-metrics -d ../logs -o computer-metrics.csv computer-metrics截图
eid-metrics命令您可以使用eid-metrics命令打印出按通道分隔的事件 ID( <System><EventID>字段)的总数和百分比。此命令不使用任何检测规则,因此将扫描所有事件。
Usage: eid-metrics <INPUT> [OPTIONS]
Input:
-d, --directory <DIR> Directory of multiple .evtx files
-f, --file <FILE> File path to one .evtx file
-l, --live-analysis Analyze the local C:WindowsSystem32winevtLogs folder
General Options:
-C, --clobber Overwrite files when saving
-h, --help Show the help menu
-J, --JSON-input Scan JSON formatted logs instead of .evtx (.json or .jsonl)
-Q, --quiet-errors Quiet errors mode: do not save error logs
-x, --recover-records Carve evtx records from slack space (default: disabled)
-c, --rules-config <DIR> Specify custom rule config directory (default: ./rules/config)
--target-file-ext <FILE-EXT...> Specify additional evtx file extensions (ex: evtx_data)
-t, --threads <NUMBER> Number of threads (default: optimal number for performance)
Filtering:
--exclude-computer <COMPUTER...> Do not scan specified computer names (ex: ComputerA) (ex: ComputerA,ComputerB)
--include-computer <COMPUTER...> Scan only specified computer names (ex: ComputerA) (ex: ComputerA,ComputerB)
--timeline-offset <OFFSET> Scan recent events based on an offset (ex: 1y, 3M, 30d, 24h, 30m)
Output:
-o, --output <FILE> Save the Metrics in CSV format (ex: metrics.csv)
Display Settings:
--no-color Disable color output
-q, --quiet Quiet mode: do not display the launch banner
-v, --verbose Output verbose information
Time Format:
--European-time Output timestamp in European time format (ex: 22-02-2022 22:00:00.123 +02:00)
--ISO-8601 Output timestamp in ISO-8601 format (ex: 2022-02-22T10:10:10.1234567Z) (Always UTC)
--RFC-2822 Output timestamp in RFC 2822 format (ex: Fri, 22 Feb 2022 22:00:00 -0600)
--RFC-3339 Output timestamp in RFC 3339 format (ex: 2022-02-22 22:00:00.123456-06:00)
--US-military-time Output timestamp in US military time format (ex: 02-22-2022 22:00:00.123 -06:00)
--US-time Output timestamp in US time format (ex: 02-22-2022 10:00:00.123 PM -06:00)
-U, --UTC Output time in UTC format (default: local time)
eid-metrics命令示例hayabusa.exe eid-metrics -f Security.evtxhayabusa.exe eid-metrics -d ../logshayabusa.exe eid-metrics -f Security.evtx -o eid-metrics.csv eid-metrics命令配置文件频道、事件ID和事件标题在rules/config/channel_eid_info.txt中定义。
例子:
Channel,EventID,EventTitle
Microsoft-Windows-Sysmon/Operational,1,Process Creation.
Microsoft-Windows-Sysmon/Operational,2,File Creation Timestamp Changed. (Possible Timestomping)
Microsoft-Windows-Sysmon/Operational,3,Network Connection.
Microsoft-Windows-Sysmon/Operational,4,Sysmon Service State Changed.
eid-metrics截图
logon-summary命令您可以使用logon-summary命令输出登录信息摘要(登录用户名以及成功和失败登录计数)。您可以使用-f显示一个 evtx 文件的登录信息,或使用-d选项显示多个 evtx 文件的登录信息。
Usage: logon-summary <INPUT> [OPTIONS]
Input:
-d, --directory <DIR> Directory of multiple .evtx files
-f, --file <FILE> File path to one .evtx file
-l, --live-analysis Analyze the local C:WindowsSystem32winevtLogs folder
General Options:
-C, --clobber Overwrite files when saving
-h, --help Show the help menu
-J, --JSON-input Scan JSON formatted logs instead of .evtx (.json or .jsonl)
-Q, --quiet-errors Quiet errors mode: do not save error logs
-x, --recover-records Carve evtx records from slack space (default: disabled)
-c, --rules-config <DIR> Specify custom rule config directory (default: ./rules/config)
--target-file-ext <FILE-EXT...> Specify additional evtx file extensions (ex: evtx_data)
-t, --threads <NUMBER> Number of threads (default: optimal number for performance)
Filtering:
--exclude-computer <COMPUTER...> Do not scan specified computer names (ex: ComputerA) (ex: ComputerA,ComputerB)
--include-computer <COMPUTER...> Scan only specified computer names (ex: ComputerA) (ex: ComputerA,ComputerB)
--timeline-end <DATE> End time of the event logs to load (ex: "2022-02-22 23:59:59 +09:00")
--timeline-offset <OFFSET> Scan recent events based on an offset (ex: 1y, 3M, 30d, 24h, 30m)
--timeline-start <DATE> Start time of the event logs to load (ex: "2020-02-22 00:00:00 +09:00")
Output:
-o, --output <FILENAME-PREFIX> Save the logon summary to two CSV files (ex: -o logon-summary)
Display Settings:
--no-color Disable color output
-q, --quiet Quiet mode: do not display the launch banner
-v, --verbose Output verbose information
Time Format:
--European-time Output timestamp in European time format (ex: 22-02-2022 22:00:00.123 +02:00)
--ISO-8601 Output timestamp in ISO-8601 format (ex: 2022-02-22T10:10:10.1234567Z) (Always UTC)
--RFC-2822 Output timestamp in RFC 2822 format (ex: Fri, 22 Feb 2022 22:00:00 -0600)
--RFC-3339 Output timestamp in RFC 3339 format (ex: 2022-02-22 22:00:00.123456-06:00)
--US-military-time Output timestamp in US military time format (ex: 02-22-2022 22:00:00.123 -06:00)
--US-time Output timestamp in US time format (ex: 02-22-2022 10:00:00.123 PM -06:00)
-U, --UTC Output time in UTC format (default: local time)
logon-summary命令示例hayabusa.exe logon-summary -f Security.evtxhayabusa.exe logon-summary -d ../logs -o logon-summary.csv logon-summary 
pivot-keywords-list命令您可以使用pivot-keywords-list命令创建唯一的pivot关键字列表,以快速识别异常用户、主机名、进程等......以及关联事件。
重要提示:默认情况下,hayabusa 将返回所有事件(信息性和更高级别)的结果,因此我们强烈建议将pivot-keywords-list命令与-m, --min-level选项结合使用。例如,首先使用-m critical仅从critical警报创建关键字,然后继续使用-m high 、 -m medium等...结果中很可能存在与许多正常事件相匹配的常见关键字,因此,在手动检查结果并在单个文件中创建唯一关键字列表后,您可以使用grep -f keywords.txt timeline.csv等命令创建可疑活动的缩小时间线。
Usage: pivot-keywords-list <INPUT> [OPTIONS]
Input:
-d, --directory <DIR> Directory of multiple .evtx files
-f, --file <FILE> File path to one .evtx file
-l, --live-analysis Analyze the local C:WindowsSystem32winevtLogs folder
General Options:
-C, --clobber Overwrite files when saving
-h, --help Show the help menu
-J, --JSON-input Scan JSON formatted logs instead of .evtx (.json or .jsonl)
-w, --no-wizard Do not ask questions. Scan for all events and alerts
-Q, --quiet-errors Quiet errors mode: do not save error logs
-x, --recover-records Carve evtx records from slack space (default: disabled)
-c, --rules-config <DIR> Specify custom rule config directory (default: ./rules/config)
--target-file-ext <FILE-EXT...> Specify additional evtx file extensions (ex: evtx_data)
-t, --threads <NUMBER> Number of threads (default: optimal number for performance)
Filtering:
-E, --EID-filter Scan only common EIDs for faster speed (./rules/config/target_event_IDs.txt)
-D, --enable-deprecated-rules Enable rules with a status of deprecated
-n, --enable-noisy-rules Enable rules set to noisy (./rules/config/noisy_rules.txt)
-u, --enable-unsupported-rules Enable rules with a status of unsupported
-e, --exact-level <LEVEL> Only load rules with a specific level (informational, low, medium, high, critical)
--exclude-computer <COMPUTER...> Do not scan specified computer names (ex: ComputerA) (ex: ComputerA,ComputerB)
--exclude-eid <EID...> Do not scan specific EIDs for faster speed (ex: 1) (ex: 1,4688)
--exclude-status <STATUS...> Do not load rules according to status (ex: experimental) (ex: stable,test)
--exclude-tag <TAG...> Do not load rules with specific tags (ex: sysmon)
--include-computer <COMPUTER...> Scan only specified computer names (ex: ComputerA) (ex: ComputerA,ComputerB)
--include-eid <EID...> Scan only specified EIDs for faster speed (ex: 1) (ex: 1,4688)
--include-status <STATUS...> Only load rules with specific status (ex: experimental) (ex: stable,test)
--include-tag <TAG...> Only load rules with specific tags (ex: attack.execution,attack.discovery)
-m, --min-level <LEVEL> Minimum level for rules to load (default: informational)
--timeline-end <DATE> End time of the event logs to load (ex: "2022-02-22 23:59:59 +09:00")
--timeline-offset <OFFSET> Scan recent events based on an offset (ex: 1y, 3M, 30d, 24h, 30m)
--timeline-start <DATE> Start time of the event logs to load (ex: "2020-02-22 00:00:00 +09:00")
Output:
-o, --output <FILENAME-PREFIX> Save pivot words to separate files (ex: PivotKeywords)
Display Settings:
--no-color Disable color output
-q, --quiet Quiet mode: do not display the launch banner
-v, --verbose Output verbose information
pivot-keywords-list命令示例hayabusa.exe pivot-keywords-list -d ../logs -m criticalkeywords-Ip Addresses.txt 、 keywords-Users.txt等...): hayabusa.exe pivot-keywords-list -d ../logs -m critical -o keywords`
pivot-keywords-list配置文件您可以通过编辑./rules/config/pivot_keywords.txt来自定义要搜索的关键字。此页面为默认设置。
格式为KeywordName.FieldName 。例如,在创建Users列表时,hayabusa 将列出SubjectUserName 、 TargetUserName和User字段中的所有值。
search命令search命令将允许您对所有事件进行关键字搜索。 (不仅仅是隼鸟检测结果。)这对于确定隼鸟未检测到的事件中是否存在任何证据非常有用。
Usage: hayabusa.exe search <INPUT> <--keywords "<KEYWORDS>" OR --regex "<REGEX>"> [OPTIONS]
Display Settings:
--no-color Disable color output
-q, --quiet Quiet mode: do not display the launch banner
-v, --verbose Output verbose information
General Options:
-C, --clobber Overwrite files when saving
-h, --help Show the help menu
-Q, --quiet-errors Quiet errors mode: do not save error logs
-x, --recover-records Carve evtx records from slack space (default: disabled)
-c, --rules-config <DIR> Specify custom rule config directory (default: ./rules/config)
--target-file-ext <FILE-EXT...> Specify additional evtx file extensions (ex: evtx_data)
-t, --threads <NUMBER> Number of threads (default: optimal number for performance)
Input:
-d, --directory <DIR> Directory of multiple .evtx files
-f, --file <FILE> File path to one .evtx file
-l, --live-analysis Analyze the local C:WindowsSystem32winevtLogs folder
Filtering:
-a, --and-logic Search keywords with AND logic (default: OR)
-F, --filter <FILTER...> Filter by specific field(s)
-i, --ignore-case Case-insensitive keyword search
-k, --keyword <KEYWORD...> Search by keyword(s)
-r, --regex <REGEX> Search by regular expression
--timeline-offset <OFFSET> Scan recent events based on an offset (ex: 1y, 3M, 30d, 24h, 30m)
Output:
-J, --JSON-output Save the search results in JSON format (ex: -J -o results.json)
-L, --JSONL-output Save the search results in JSONL format (ex: -L -o results.jsonl)
-M, --multiline Output event field information in multiple rows for CSV output
-o, --output <FILE> Save the search results in CSV format (ex: search.csv)
Time Format:
--European-time Output timestamp in European time format (ex: 22-02-2022 22:00:00.123 +02:00)
--ISO-8601 Output timestamp in ISO-8601 format (ex: 2022-02-22T10:10:10.1234567Z) (Always UTC)
--RFC-2822 Output timestamp in RFC 2822 format (ex: Fri, 22 Feb 2022 22:00:00 -0600)
--RFC-3339 Output timestamp in RFC 3339 format (ex: 2022-02-22 22:00:00.123456-06:00)
--US-military-time Output timestamp in US military time format (ex: 02-22-2022 22:00:00.123 -06:00)
--US-time Output timestamp in US time format (ex: 02-22-2022 10:00:00.123 PM -06:00)
-U, --UTC Output time in UTC format (default: local time)
search命令示例../hayabusa-sample-evtx目录中搜索关键字mimikatz : 
