首頁>編程相關>其他源碼
下載

隼鳥標誌

[中文] | [日本語]

關於隼

Hayabusa 是由日本 Yamato 安全小組建立的Windows 事件日誌快速取證時間軸產生器威脅搜尋工具。 Hayabusa 在日文中的意思是“遊隼”,之所以被選中是因為遊隼是世界上跑得最快的動物,擅長狩獵且易於訓練。它是用 Rust 編寫的,並支援多線程,以便盡可能快。我們提供了一個將 Sigma 規則轉換為 Hayabusa 規則格式的工具。與 Sigma 相容的 Hayabusa 檢測規則是用 YML 編寫的,以便盡可能輕鬆地自訂和擴展。 Hayabusa 可以在單一運行系統上運行以進行即時分析,透過從單一或多個系統收集日誌進行離線分析,或透過 Velociraptor 執行 Hayabusa 工件以進行企業範圍的威脅搜尋和事件回應。輸出將合併到單一 CSV 時間軸中,以便在 LibreOffice、Timeline Explorer、Elastic Stack、Timesketch 等中輕鬆分析...

配套項目

  • EnableWindowsLogSettings - 用於正確啟用 Windows 事件日誌的文件和腳本。
  • Hayabusa 編碼規則 - 與 Hayabusa 規則儲存庫相同,但規則和設定檔儲存在一個檔案中並進行異或以防止防毒誤報。
  • Hayabusa 規則 - Hayabusa 和策劃的 Sigma 偵測規則使用 Hayabusa。
  • Hayabusa EVTX - evtx箱的一個維護較好的分支。
  • Hayabusa Sample EVTXs - 用於測試 hayabusa/sigma 偵測規則的範例 evtx 檔案。
  • 簡報 - 我們就我們的工具和資源進行的演講的簡報。
  • Sigma 到 Hayabusa 轉換器 - 將基於上游 Windows 事件日誌的 Sigma 規則整理為更易於使用的形式。
  • Takajo - hayabusa 結果分析器。
  • WELA(Windows 事件日誌分析器)- 以 PowerShell 編寫的 Windows 事件日誌分析器。 (已棄用並由 Takajo 取代。)

使用 Hayabusa 的第三方項目

  • AllthingsTimesketch - 將 Plaso 和 Hayabusa 結果匯入 Timesketch 的 NodeRED 工作流程.
  • LimaCharlie - 提供基於雲端的安全工具和基礎架構來滿足您的需求。
  • OpenRelik - 一個開源 (Apache-2.0) 平台,旨在簡化協作數位鑑識調查。
  • Splunk4DFIR - 使用 Docker 快速啟動 splunk 實例,以便在調查期間瀏覽日誌和工具輸出。
  • Velociraptor - 一種使用 Velociraptor 查詢語言 (VQL) 查詢收集基於主機的狀態資訊的工具。

目錄

  • 關於隼
  • 配套項目
  • 使用 Hayabusa 的第三方項目
    • 目錄
    • 主要目標
      • 威脅追蹤和企業範圍的 DFIR
      • 快速取證時間軸生成
  • 截圖
    • 啟動
    • DFIR 時間軸終端輸出
    • 關鍵字搜尋結果
    • 偵測頻率時間線( -T選項)
    • 結果總結
    • HTML 結果摘要( -H選項)
    • LibreOffice 中的 DFIR 時間軸分析( -M多行輸出)
    • 時間軸資源管理器中的 DFIR 時間軸分析
    • 時間軸資源管理器中的關鍵警報過濾和電腦分組
    • 使用 Elastic Stack 儀表板進行分析
    • Timesketch 中的分析
  • 導入和分析時間軸結果
  • 使用 JQ 分析 JSON 格式的結果
  • 特徵
  • 下載
    • Windows 即時回應套件
  • Git 克隆
  • 進階:從原始碼編譯(可選)
    • 更新 Rust 套件
    • 交叉編譯 32 位元 Windows 二進位文件
    • macOS 編譯筆記
    • Linux編譯筆記
    • 交叉編譯 Linux MUSL 二進位文件
  • 隼鳥奔跑
    • 注意:防毒/EDR 警告和運行速度慢
    • 視窗
      • 嘗試掃描路徑中包含空格的檔案或目錄時發生錯誤
    • Linux
    • macOS
  • 命令列表
    • 分析命令:
    • DFIR 時間軸指令:
    • 通用命令:
  • 命令用法
    • 分析指令
      • computer-metrics命令
        • computer-metrics命令範例
        • computer-metrics截圖
      • eid-metrics指令
        • eid-metrics指令範例
        • eid-metrics指令設定檔
        • eid-metrics截圖
      • logon-summary命令
        • logon-summary命令範例
        • logon-summary
      • pivot-keywords-list命令
        • pivot-keywords-list命令範例
        • pivot-keywords-list配置文件
      • search命令
        • search命令範例
        • search命令設定檔
    • DFIR 時間軸指令
      • 掃描嚮導
        • 核心規則
        • 核心+規則
        • 核心++規則
        • 新興威脅 (ET) 附加規則
        • 威脅追蹤 (TH) 附加規則
      • 基於通道的事件日誌和規則過濾
      • csv-timeline指令
        • csv-timeline命令範例
        • 高級 - GeoIP 日誌豐富
          • GeoIP 設定文件
          • GeoIP 資料庫自動更新
        • csv-timeline命令設定文件
      • json-timeline命令
        • json-timeline命令範例和設定文件
      • level-tuning指令
        • level-tuning指令範例
        • level-tuning設定檔
      • list-profiles命令
      • set-default-profile命令
        • set-default-profile指令範例
      • update-rules命令
        • update-rules命令範例
  • 時間軸輸出
    • 輸出設定檔
      • 1. minimal檔輸出
      • 2. standard檔輸出
      • 3. verbose檔輸出
      • 4. all-field-info設定檔輸出
      • 5. all-field-info-verbose設定檔輸出
      • 6. super-verbose檔輸出
      • 7. timesketch-minimal輪廓輸出
      • 8. timesketch-verbose設定檔輸出
      • 簡介比較
      • 設定檔欄位別名
        • 額外的設定檔欄位別名
    • 等級縮寫
    • MITRE ATT&CK 戰術縮寫
    • 頻道縮寫
    • 其他縮寫
    • 進度條
    • 色彩輸出
    • 結果總結
      • 偵測頻率時間線
  • 隼鳥規則
    • Sigma vs Hayabusa(內建 Sigma 相容)規則
  • 其他 Windows 事件日誌分析器和相關資源
  • Windows 日誌記錄建議
  • Sysmon 相關項目
  • 社群文檔
    • 英語
    • 日本人
  • 貢獻
  • 錯誤提交
  • 執照
  • 嘰嘰喳喳

主要目標

威脅追蹤和企業範圍的 DFIR

Hayabusa 目前擁有超過 4000 條 Sigma 規則和超過 170 條 Hayabusa 內建偵測規則,並且會定期添加更多規則。它可用於企業範圍內的主動威脅搜尋以及免費的 DFIR(數位取證和事件回應)以及 Velociraptor 的 Hayabusa 工件。透過結合這兩個開源工具,當環境中沒有 SIEM 設定時,您基本上可以追溯地重現 SIEM。您可以在此處觀看 Eric Capuano 的 Velociraptor 演練,以了解如何執行此操作。

快速取證時間軸生成

傳統上,Windows 事件日誌分析是一個非常漫長且乏味的過程,因為 Windows 事件日誌 1) 採用難以分析的資料格式,2) 大部分資料都是噪音,對調查沒有用處。 Hayabusa 的目標是只提取有用的數據,並以盡可能簡潔、易於閱讀的格式呈現,不僅可供受過專業培訓的分析師使用,而且任何 Windows 系統管理員都可以使用。與傳統的 Windows 事件日誌分析相比,Hayabusa 希望讓分析師在 20% 的時間內完成 80% 的工作。

DFIR 時間表

截圖

啟動

隼鳥新創公司

DFIR 時間軸終端輸出

Hayabusa DFIR 終端輸出

關鍵字搜尋結果

隼鳥搜尋結果

偵測頻率時間線( -T選項)

隼鳥偵測頻率時間線

結果總結

隼鳥結果總結

HTML 結果摘要( -H選項)

隼鳥結果總結

隼鳥結果總結

隼鳥結果總結

LibreOffice 中的 DFIR 時間軸分析( -M多行輸出)

LibreOffice 中的 Hayabusa 分析

時間軸資源管理器中的 DFIR 時間軸分析

時間軸資源管理器中的隼鳥分析

時間軸資源管理器中的關鍵警報過濾和電腦分組

時間軸資源管理器中的關鍵警報過濾和電腦分組

使用 Elastic Stack 儀表板進行分析

彈性堆疊儀表板 1

彈性堆疊儀表板 2

Timesketch 中的分析

時間素描

導入和分析時間軸結果

您可以在此處了解如何在 Excel 和時間軸資源管理器中分析 CSV 時間軸。

您可以在此處了解如何將 CSV 檔案匯入 Elastic Stack。

您可以在此處了解如何將 CSV 檔案匯入 Timesketch。

使用 JQ 分析 JSON 格式的結果

您可以在此處了解如何使用jq分析 JSON 格式的結果。

特徵

  • 跨平台支援:Windows、Linux、macOS。
  • 用 Rust 開發,記憶體安全且快速。
  • 多執行緒支援可將速度提高多達 5 倍。
  • 為取證調查和事件回應創建單一的易於分析的時間表。
  • 基於 IoC 簽名的威脅狩獵,這些簽名以易於閱讀/創建/編輯的基於 YML 的 hayabusa 規則編寫。
  • Sigma 規則支援將 sigma 規則轉換為 hayabusa 規則。
  • 目前,與其他類似工具相比,它支援最多的 sigma 規則,甚至支援計數規則和新聚合器,例如|equalsfield|endswithfield
  • 計算機指標。 (對於過濾掉某些具有大量事件的計算機很有用。)
  • 事件 ID 指標。 (對於了解事件類型以及調整日誌設定很有用。)
  • 透過排除不需要的或吵雜的規則來調整規則配置。
  • MITRE ATT&CK 戰術映射。
  • 規則等級調整。
  • 建立獨特的關鍵關鍵字列表,以快速識別異常用戶、主機名稱、進程等......以及關聯事件。
  • 輸出所有欄位以進行更徹底的調查。
  • 成功和失敗的登入摘要。
  • 使用 Velociraptor 在所有端點上進行企業範圍的威脅追蹤和 DFIR。
  • 輸出為 CSV、JSON/JSONL 和 HTML 摘要報告。
  • 每日西格瑪規則更新。
  • 支援JSON格式的日誌輸入。
  • 日誌字段標準化。 (將具有不同命名約定的多個欄位轉換為相同的欄位名稱。)
  • 透過將 GeoIP(ASN、城市、國家)資訊新增至 IP 位址來豐富日誌。
  • 在所有事件中搜尋關鍵字或正規表示式。
  • 現場數據映射。 (例如: 0xc0000234 -> ACCOUNT LOCKED
  • 從 evtx 鬆弛空間雕刻 Evtx 記錄。
  • 輸出時事件去重。 (當啟用復原記錄或包含備份的 evtx 檔案、來自 VSS 的 evtx 檔案等時很有用...)
  • 掃描設定精靈可協助您更輕鬆地選擇要啟用的規則。 (為了減少誤報等...)
  • PowerShell經典日誌欄位解析與擷取。
  • 記憶體使用率低。 (注意:這可以透過不對結果進行排序來實現。最適合在代理或大數據上運行。)
  • 過濾通道和規則以實現最高效的效能。

下載

請下載最新穩定版本的 Hayabusa 及其編譯的二進位文件,或從發布頁面編譯原始程式碼。

我們為以下架構提供二進位檔案:

  • Linux ARM 64 位 GNU ( hayabusa-xxx-lin-aarch64-gnu )
  • Linux Intel 64 位 GNU ( hayabusa-xxx-lin-x64-gnu )
  • Linux Intel 64 位 MUSL ( hayabusa-xxx-lin-x64-musl )
  • macOS ARM 64 位 ( hayabusa-xxx-mac-aarch64 )
  • macOS Intel 64 位 ( hayabusa-xxx-mac-x64 )
  • Windows ARM 64 位元 ( hayabusa-xxx-win-aarch64.exe )
  • Windows 英特爾 64 位元 ( hayabusa-xxx-win-x64.exe )
  • Windows Intel 32 位元 ( hayabusa-xxx-win-x86.exe )

由於某種原因,Linux ARM MUSL 二進位檔案無法正常運作,因此我們不提供該二進位檔案。這是我們無法控制的,因此我們計劃在將來修復後提供它。

Windows 即時回應套件

從 v2.18.0 開始,我們提供了特殊的 Windows 軟體包,這些軟體包使用單一檔案中提供的 XOR 編碼規則以及組合到單一檔案中的所有設定檔(託管在 hayabusa-encoded-rules 儲存庫中)。只要下載名稱中帶有live-response zip 套件即可。 zip 檔案僅包含三個檔案:Hayabusa 二進位檔案、XOR 編碼的規則檔案和設定檔。這些即時回應套件的目的是在客戶端端點上執行 Hayabusa 時,我們希望確保 Windows Defender 等防毒掃描程式不會對.yml規則檔案給予誤報。此外,我們希望最大限度地減少寫入系統的檔案量,以便像 USN Journal 這樣的取證工件不會被覆蓋。

Git 克隆

您可以使用以下命令git clone儲存庫並從原始程式碼編譯二進位檔案:

警告:儲存庫的主分支用於開發目的,因此您可能能夠存取尚未正式發布的新功能,但是,可能存在錯誤,因此請考慮它不穩定。 

git clone https://github.com/Yamato-Security/hayabusa.git --recursive

注意:如果您忘記使用 --recursive 選項,則作為 git 子模組管理的rules資料夾將不會被複製。

您可以使用git pull --recurse-submodules同步rules夾並取得最新的 Hayabusa 規則或使用以下命令: 

hayabusa.exe update-rules

如果更新失敗,您可能需要重新命名rules資料夾並重試。

注意:更新時, rules資料夾中的規則和設定檔將替換為 hayabusa-rules 儲存庫中的最新規則和設定檔。您對現有文件所做的任何更改都會被覆蓋,因此我們建議您在更新之前對編輯的任何文件進行備份。如果您使用level-tuning執行等級調整,請在每次更新後重新調整您的規則檔案。如果您在rules資料夾內新增規則,則更新時它們不會被覆寫或刪除。

進階:從原始碼編譯(可選)

如果安裝了 Rust,則可以使用以下命令從原始程式碼編譯:

注意:要編譯,您通常需要最新版本的 Rust。 

cargo build --release

您可以從主分支下載最新的不穩定版本,或從發布頁面下載最新的穩定版本。

請務必定期更新 Rust: 

rustup update stable

編譯後的二進位檔案將輸出到./target/release資料夾。

更新 Rust 套件

您可以在編譯之前更新到最新的 Rust crate: 

cargo update

更新後如果出現任何問題,請告訴我們。

交叉編譯 32 位元 Windows 二進位文件

您可以使用下列命令在 64 位元 Windows 系統上建立 32 位元二進位檔案: 

rustup install stable-i686-pc-windows-msvc
rustup target add i686-pc-windows-msvc
rustup run stable-i686-pc-windows-msvc cargo build --release

警告:只要有新的 Rust 穩定版本,請務必執行rustup install stable-i686-pc-windows-msvc因為rustup update stable不會更新編譯器以進行交叉編譯,並且您可能會收到建置錯誤。

macOS 編譯筆記

如果收到有關 openssl 的編譯錯誤,則需要安裝 Homebrew,然後安裝以下軟體包: 

brew install pkg-config
brew install openssl

Linux編譯筆記

如果收到有關 openssl 的編譯錯誤,則需要安裝以下軟體包。

基於 Ubuntu 的發行版: 

sudo apt install libssl-dev

基於 Fedora 的發行版: 

sudo yum install openssl-devel

交叉編譯 Linux MUSL 二進位文件

在 Linux 作業系統上,先安裝目標。 

rustup install stable-x86_64-unknown-linux-musl
rustup target add x86_64-unknown-linux-musl

編譯: 

cargo build --release --target=x86_64-unknown-linux-musl

警告:只要有新的 Rust 穩定版本,請務必執行rustup install stable-x86_64-unknown-linux-musl因為rustup update stable不會更新編譯器以進行交叉編譯,並且您可能會收到建置錯誤。

MUSL 二進位檔案將在./target/x86_64-unknown-linux-musl/release/目錄中建立。 MUSL 二進位檔案比 GNU 二進位檔慢大約 15%,但是,它們在 Linux 的不同版本和發行版之間更易於移植。

隼鳥奔跑

注意:防毒/EDR 警告和運行速度慢

當嘗試執行 hayabusa 時,甚至只是在下載.yml規則時,您可能會收到來自防毒或 EDR 產品的警報,因為偵測簽章中會有mimikatz和可疑 PowerShell 指令等關鍵字。這些都是誤報,因此需要在安全產品中配置排除項以允許 hayabusa 運作。如果您擔心惡意軟體或供應鏈攻擊,請檢查 hayabusa 原始碼並自行編譯二進位。

由於 Windows Defender 的即時保護,您可能會遇到運行速度緩慢的情況,尤其是在重新啟動後的首次運行時。您可以透過暫時關閉即時保護或在 hayabusa 運行時目錄中新增排除項來避免這種情況。 (在執行這些操作之前請考慮安全風險。)

視窗

在命令/PowerShell 提示字元或 Windows 終端機中,只需執行適當的 32 位元或 64 位元 Windows 二進位檔案。

嘗試掃描路徑中包含空格的檔案或目錄時發生錯誤

在 Windows 中使用內建指令或 PowerShell 提示字元時,如果檔案或目錄路徑中有空格,您可能會收到錯誤訊息,指出 Hayabusa 無法載入任何 .evtx 檔案。為了正確載入 .evtx 文件,請務必執行以下操作:

  1. 用雙引號將檔案或目錄路徑括起來。
  2. 如果它是目錄路徑,請確保最後一個字元不包含反斜線。

Linux

您首先需要使二進位可執行檔。 

chmod +x ./hayabusa

然後從 Hayabusa 根目錄運行它: 

./hayabusa

macOS

從終端機或 iTerm2,您首先需要使二進位執行檔。 

chmod +x ./hayabusa

然後,嘗試從 Hayabusa 根目錄運行它: 

./hayabusa

在最新版本的 macOS 上,當您嘗試執行它時可能會收到以下安全性錯誤:

Mac 錯誤 1 CN

按一下“取消”,然後從“系統偏好設定”開啟“安全性和隱私權”,然後從“常規”標籤中按一下“仍然允許”。

Mac 錯誤 2 CN

之後,嘗試再次運行它。 

./hayabusa

會彈出以下警告,請點選「開啟」。

Mac 錯誤 3 CN

您現在應該能夠運行 hayabusa。

命令列表

分析命令:

  • computer-metrics :根據電腦名稱列印事件數。
  • eid-metrics :根據事件 ID 列印事件的數量和百分比。
  • logon-summary :列印登入事件的摘要。
  • pivot-keywords-list :列印要旋轉的可疑關鍵字清單。
  • search :透過關鍵字或正規表示式搜尋所有事件

DFIR 時間軸指令:

  • csv-timeline :以 CSV 格式儲存時間軸。
  • json-timeline :以 JSON/JSONL 格式儲存時間軸。
  • level-tuning :自訂調整警報的level
  • list-profiles :列出可用的輸出設定檔。
  • set-default-profile :更改預設設定檔。
  • update-rules :將規則同步到 hayabusa-rules GitHub 儲存庫中的最新規則。

通用命令:

  • help : 列印此訊息或給定子命令的協助
  • list-contributors :列印貢獻者列表

命令用法

分析指令

computer-metrics命令

您可以使用computer-metrics指令來檢查根據<System><Computer>欄位中定義的每台電腦有多少個事件。請注意,您不能完全依賴Computer欄位來按事件的原始電腦來分隔事件。儲存到事件日誌時,Windows 11 有時會使用完全不同的Computer名稱。此外,Windows 10 有時會以全小寫形式記錄Computer名稱。該命令不使用任何檢測規則,因此將分析所有事件。這是一個很好的命令,可以運行它來快速查看哪些電腦擁有最多的日誌。有了這些訊息,您就可以在建立時間軸時使用--include-computer--exclude-computer選項,透過根據電腦建立多個時間軸或排除來自某些電腦的事件來提高時間軸產生的效率。 

 Usage: computer-metrics <INPUT> [OPTIONS]

Input:
  -d, --directory <DIR>  Directory of multiple .evtx files
  -f, --file <FILE>      File path to one .evtx file
  -l, --live-analysis    Analyze the local C:WindowsSystem32winevtLogs folder

General Options:
  -C, --clobber                        Overwrite files when saving
  -h, --help                           Show the help menu
  -J, --JSON-input                     Scan JSON formatted logs instead of .evtx (.json or .jsonl)
  -Q, --quiet-errors                   Quiet errors mode: do not save error logs
  -x, --recover-records                Carve evtx records from slack space (default: disabled)
  -c, --rules-config <DIR>             Specify custom rule config directory (default: ./rules/config)
      --target-file-ext <FILE-EXT...>  Specify additional evtx file extensions (ex: evtx_data)
  -t, --threads <NUMBER>               Number of threads (default: optimal number for performance)

Filtering:
      --timeline-offset <OFFSET>  Scan recent events based on an offset (ex: 1y, 3M, 30d, 24h, 30m)

Output:
  -o, --output <FILE>  Save the results in CSV format (ex: computer-metrics.csv)

Display Settings:
      --no-color  Disable color output
  -q, --quiet     Quiet mode: do not display the launch banner
  -v, --verbose   Output verbose information

computer-metrics命令範例

  • 從目錄中列印電腦名稱指標: hayabusa.exe computer-metrics -d ../logs
  • 將結果儲存到 CSV 檔案: hayabusa.exe computer-metrics -d ../logs -o computer-metrics.csv

computer-metrics截圖

電腦指標截圖

eid-metrics指令

您可以使用eid-metrics指令列印出以通道分隔的事件 ID( <System><EventID>欄位)的總數和百分比。此命令不使用任何偵測規則,因此將掃描所有事件。 

 Usage: eid-metrics <INPUT> [OPTIONS]

Input:
  -d, --directory <DIR>  Directory of multiple .evtx files
  -f, --file <FILE>      File path to one .evtx file
  -l, --live-analysis    Analyze the local C:WindowsSystem32winevtLogs folder

General Options:
  -C, --clobber                        Overwrite files when saving
  -h, --help                           Show the help menu
  -J, --JSON-input                     Scan JSON formatted logs instead of .evtx (.json or .jsonl)
  -Q, --quiet-errors                   Quiet errors mode: do not save error logs
  -x, --recover-records                Carve evtx records from slack space (default: disabled)
  -c, --rules-config <DIR>             Specify custom rule config directory (default: ./rules/config)
      --target-file-ext <FILE-EXT...>  Specify additional evtx file extensions (ex: evtx_data)
  -t, --threads <NUMBER>               Number of threads (default: optimal number for performance)

Filtering:
      --exclude-computer <COMPUTER...>  Do not scan specified computer names (ex: ComputerA) (ex: ComputerA,ComputerB)
      --include-computer <COMPUTER...>  Scan only specified computer names (ex: ComputerA) (ex: ComputerA,ComputerB)
      --timeline-offset <OFFSET>        Scan recent events based on an offset (ex: 1y, 3M, 30d, 24h, 30m)

Output:
  -o, --output <FILE>  Save the Metrics in CSV format (ex: metrics.csv)

Display Settings:
      --no-color  Disable color output
  -q, --quiet     Quiet mode: do not display the launch banner
  -v, --verbose   Output verbose information

Time Format:
      --European-time     Output timestamp in European time format (ex: 22-02-2022 22:00:00.123 +02:00)
      --ISO-8601          Output timestamp in ISO-8601 format (ex: 2022-02-22T10:10:10.1234567Z) (Always UTC)
      --RFC-2822          Output timestamp in RFC 2822 format (ex: Fri, 22 Feb 2022 22:00:00 -0600)
      --RFC-3339          Output timestamp in RFC 3339 format (ex: 2022-02-22 22:00:00.123456-06:00)
      --US-military-time  Output timestamp in US military time format (ex: 02-22-2022 22:00:00.123 -06:00)
      --US-time           Output timestamp in US time format (ex: 02-22-2022 10:00:00.123 PM -06:00)
  -U, --UTC               Output time in UTC format (default: local time)

eid-metrics指令範例

  • 從單一檔案列印事件 ID 指標: hayabusa.exe eid-metrics -f Security.evtx
  • 從目錄中列印事件 ID 指標: hayabusa.exe eid-metrics -d ../logs
  • 將結果儲存到 CSV 檔案: hayabusa.exe eid-metrics -f Security.evtx -o eid-metrics.csv

eid-metrics指令設定檔

頻道、事件ID和事件標題在rules/config/channel_eid_info.txt中定義。

例子: 

 Channel,EventID,EventTitle
Microsoft-Windows-Sysmon/Operational,1,Process Creation.
Microsoft-Windows-Sysmon/Operational,2,File Creation Timestamp Changed. (Possible Timestomping)
Microsoft-Windows-Sysmon/Operational,3,Network Connection.
Microsoft-Windows-Sysmon/Operational,4,Sysmon Service State Changed.

eid-metrics截圖

eid 指標螢幕截圖

logon-summary命令

您可以使用logon-summary命令輸出登入資訊摘要(登入使用者名稱以及成功和失敗登入計數)。您可以使用-f顯示一個 evtx 檔案的登入訊息,或使用-d選項顯示多個 evtx 檔案的登入資訊。 

 Usage: logon-summary <INPUT> [OPTIONS]

Input:
  -d, --directory <DIR>  Directory of multiple .evtx files
  -f, --file <FILE>      File path to one .evtx file
  -l, --live-analysis    Analyze the local C:WindowsSystem32winevtLogs folder

General Options:
  -C, --clobber                        Overwrite files when saving
  -h, --help                           Show the help menu
  -J, --JSON-input                     Scan JSON formatted logs instead of .evtx (.json or .jsonl)
  -Q, --quiet-errors                   Quiet errors mode: do not save error logs
  -x, --recover-records                Carve evtx records from slack space (default: disabled)
  -c, --rules-config <DIR>             Specify custom rule config directory (default: ./rules/config)
      --target-file-ext <FILE-EXT...>  Specify additional evtx file extensions (ex: evtx_data)
  -t, --threads <NUMBER>               Number of threads (default: optimal number for performance)

Filtering:
      --exclude-computer <COMPUTER...>  Do not scan specified computer names (ex: ComputerA) (ex: ComputerA,ComputerB)
      --include-computer <COMPUTER...>  Scan only specified computer names (ex: ComputerA) (ex: ComputerA,ComputerB)
      --timeline-end <DATE>             End time of the event logs to load (ex: "2022-02-22 23:59:59 +09:00")
      --timeline-offset <OFFSET>        Scan recent events based on an offset (ex: 1y, 3M, 30d, 24h, 30m)
      --timeline-start <DATE>           Start time of the event logs to load (ex: "2020-02-22 00:00:00 +09:00")

Output:
  -o, --output <FILENAME-PREFIX>  Save the logon summary to two CSV files (ex: -o logon-summary)

Display Settings:
      --no-color  Disable color output
  -q, --quiet     Quiet mode: do not display the launch banner
  -v, --verbose   Output verbose information

Time Format:
      --European-time     Output timestamp in European time format (ex: 22-02-2022 22:00:00.123 +02:00)
      --ISO-8601          Output timestamp in ISO-8601 format (ex: 2022-02-22T10:10:10.1234567Z) (Always UTC)
      --RFC-2822          Output timestamp in RFC 2822 format (ex: Fri, 22 Feb 2022 22:00:00 -0600)
      --RFC-3339          Output timestamp in RFC 3339 format (ex: 2022-02-22 22:00:00.123456-06:00)
      --US-military-time  Output timestamp in US military time format (ex: 02-22-2022 22:00:00.123 -06:00)
      --US-time           Output timestamp in US time format (ex: 02-22-2022 10:00:00.123 PM -06:00)
  -U, --UTC               Output time in UTC format (default: local time)

logon-summary命令範例

  • 列印登入摘要: hayabusa.exe logon-summary -f Security.evtx
  • 儲存登入摘要結果: hayabusa.exe logon-summary -d ../logs -o logon-summary.csv

logon-summary

登入摘要成功登入螢幕截圖

登入摘要失敗登入螢幕截圖

pivot-keywords-list命令

您可以使用pivot-keywords-list命令建立唯一的pivot關鍵字列表,以快速識別異常用戶、主機名稱、進程等......以及關聯事件。

重要提示:預設情況下,hayabusa 將傳回所有事件(資訊性和更高層級)的結果,因此我們強烈建議將pivot-keywords-list指令與-m, --min-level選項結合使用。例如,首先使用-m critical僅從critical警報創建關鍵字,然後繼續使用-m high-m medium等...結果中很可能存在與許多正常事件相匹配的常見關鍵字,因此,在手動檢查結果並在單一檔案中建立唯一關鍵字清單後,您可以使用grep -f keywords.txt timeline.csv等指令建立可疑活動的縮小時間軸。 

 Usage: pivot-keywords-list <INPUT> [OPTIONS]

Input:
  -d, --directory <DIR>  Directory of multiple .evtx files
  -f, --file <FILE>      File path to one .evtx file
  -l, --live-analysis    Analyze the local C:WindowsSystem32winevtLogs folder

General Options:
  -C, --clobber                        Overwrite files when saving
  -h, --help                           Show the help menu
  -J, --JSON-input                     Scan JSON formatted logs instead of .evtx (.json or .jsonl)
  -w, --no-wizard                      Do not ask questions. Scan for all events and alerts
  -Q, --quiet-errors                   Quiet errors mode: do not save error logs
  -x, --recover-records                Carve evtx records from slack space (default: disabled)
  -c, --rules-config <DIR>             Specify custom rule config directory (default: ./rules/config)
      --target-file-ext <FILE-EXT...>  Specify additional evtx file extensions (ex: evtx_data)
  -t, --threads <NUMBER>               Number of threads (default: optimal number for performance)

Filtering:
  -E, --EID-filter                      Scan only common EIDs for faster speed (./rules/config/target_event_IDs.txt)
  -D, --enable-deprecated-rules         Enable rules with a status of deprecated
  -n, --enable-noisy-rules              Enable rules set to noisy (./rules/config/noisy_rules.txt)
  -u, --enable-unsupported-rules        Enable rules with a status of unsupported
  -e, --exact-level <LEVEL>             Only load rules with a specific level (informational, low, medium, high, critical)
      --exclude-computer <COMPUTER...>  Do not scan specified computer names (ex: ComputerA) (ex: ComputerA,ComputerB)
      --exclude-eid <EID...>            Do not scan specific EIDs for faster speed (ex: 1) (ex: 1,4688)
      --exclude-status <STATUS...>      Do not load rules according to status (ex: experimental) (ex: stable,test)
      --exclude-tag <TAG...>            Do not load rules with specific tags (ex: sysmon)
      --include-computer <COMPUTER...>  Scan only specified computer names (ex: ComputerA) (ex: ComputerA,ComputerB)
      --include-eid <EID...>            Scan only specified EIDs for faster speed (ex: 1) (ex: 1,4688)
      --include-status <STATUS...>      Only load rules with specific status (ex: experimental) (ex: stable,test)
      --include-tag <TAG...>            Only load rules with specific tags (ex: attack.execution,attack.discovery)
  -m, --min-level <LEVEL>               Minimum level for rules to load (default: informational)
      --timeline-end <DATE>             End time of the event logs to load (ex: "2022-02-22 23:59:59 +09:00")
      --timeline-offset <OFFSET>        Scan recent events based on an offset (ex: 1y, 3M, 30d, 24h, 30m)
      --timeline-start <DATE>           Start time of the event logs to load (ex: "2020-02-22 00:00:00 +09:00")

Output:
  -o, --output <FILENAME-PREFIX>  Save pivot words to separate files (ex: PivotKeywords)

Display Settings:
      --no-color  Disable color output
  -q, --quiet     Quiet mode: do not display the launch banner
  -v, --verbose   Output verbose information

pivot-keywords-list命令範例

  • 將樞紐關鍵字輸出到螢幕: hayabusa.exe pivot-keywords-list -d ../logs -m critical
  • 根據關鍵警報建立關鍵關鍵字清單並儲存結果。 (結果將會儲存到keywords-Ip Addresses.txtkeywords-Users.txt等...): 
 hayabusa.exe pivot-keywords-list -d ../logs -m critical -o keywords`

pivot-keywords-list配置文件

您可以透過編輯./rules/config/pivot_keywords.txt來自訂要搜尋的關鍵字。此頁面為預設設定。

格式為KeywordName.FieldName 。例如,在建立Users清單時,hayabusa 將列出SubjectUserNameTargetUserNameUser欄位中的所有值。

search命令

search命令將允許您對所有事件進行關鍵字搜尋。 (不僅僅是隼鳥檢測結果。)這對於確定隼鳥未檢測到的事件中是否存在任何證據非常有用。 

 Usage: hayabusa.exe search <INPUT> <--keywords "<KEYWORDS>" OR --regex "<REGEX>"> [OPTIONS]

Display Settings:
      --no-color  Disable color output
  -q, --quiet     Quiet mode: do not display the launch banner
  -v, --verbose   Output verbose information

General Options:
  -C, --clobber                        Overwrite files when saving
  -h, --help                           Show the help menu
  -Q, --quiet-errors                   Quiet errors mode: do not save error logs
  -x, --recover-records                Carve evtx records from slack space (default: disabled)
  -c, --rules-config <DIR>             Specify custom rule config directory (default: ./rules/config)
      --target-file-ext <FILE-EXT...>  Specify additional evtx file extensions (ex: evtx_data)
  -t, --threads <NUMBER>               Number of threads (default: optimal number for performance)

Input:
  -d, --directory <DIR>  Directory of multiple .evtx files
  -f, --file <FILE>      File path to one .evtx file
  -l, --live-analysis    Analyze the local C:WindowsSystem32winevtLogs folder

Filtering:
  -a, --and-logic                 Search keywords with AND logic (default: OR)
  -F, --filter <FILTER...>        Filter by specific field(s)
  -i, --ignore-case               Case-insensitive keyword search
  -k, --keyword <KEYWORD...>      Search by keyword(s)
  -r, --regex <REGEX>             Search by regular expression
      --timeline-offset <OFFSET>  Scan recent events based on an offset (ex: 1y, 3M, 30d, 24h, 30m)

Output:
  -J, --JSON-output    Save the search results in JSON format (ex: -J -o results.json)
  -L, --JSONL-output   Save the search results in JSONL format (ex: -L -o results.jsonl)
  -M, --multiline      Output event field information in multiple rows for CSV output
  -o, --output <FILE>  Save the search results in CSV format (ex: search.csv)

Time Format:
      --European-time     Output timestamp in European time format (ex: 22-02-2022 22:00:00.123 +02:00)
      --ISO-8601          Output timestamp in ISO-8601 format (ex: 2022-02-22T10:10:10.1234567Z) (Always UTC)
      --RFC-2822          Output timestamp in RFC 2822 format (ex: Fri, 22 Feb 2022 22:00:00 -0600)
      --RFC-3339          Output timestamp in RFC 3339 format (ex: 2022-02-22 22:00:00.123456-06:00)
      --US-military-time  Output timestamp in US military time format (ex: 02-22-2022 22:00:00.123 -06:00)
      --US-time           Output timestamp in US time format (ex: 02-22-2022 10:00:00.123 PM -06:00)
  -U, --UTC               Output time in UTC format (default: local time)

search命令範例

  • ../hayabusa-sample-evtx目錄中搜尋關鍵字mimikatz
展開
附加信息
相關應用
爲您推薦
相關資訊 全部