Hayabusa

Hayabusa(隼):基于sigma的Windows事件日志分析工具 - 图1
Hayabusa 是一个Windows 事件日志快速取证时间线生成器威胁搜寻工具,由日本Yamato 安全组创建。
隼在日语中的意思是“游隼”,因为游隼是世界上速度最快的动物,狩猎能力强,训练能力强。
它是用Rust编写的,并支持多线程以尽可能快。我们提供了一个转换Sigma的工具规则转换成隼规则格式。隼检测规则基于 Sigma 规则,用 YML 编写,以便尽可能易于定制和扩展。它可以在正在运行的系统上运行以进行实时分析,也可以通过从多个系统收集日志以进行离线分析。(目前,它不支持实时警报或定期扫描。)输出将合并到单个 CSV 时间线中,以便在 Excel、Timeline ExplorerElastic Stack中进行分析。

主要目标

威胁搜寻

Hayabusa 目前有超过 2300 条 Sigma 规则和超过 130 条 Hayabusa 规则,并且会定期添加更多规则。
最终目标是能够在事件发生后将隼代理推送到所有 Windows 端点或进行定期威胁搜寻,并让它们向中央服务器发出警报。

快速取证时间线生成

传统上,Windows 事件日志分析是一个非常漫长而乏味的过程,因为 Windows 事件日志 1) 采用难以分析的数据格式,以及 2) 大部分数据都是噪音,对调查没有用处。Hayabusa 的主要目标是只提取有用的数据并以易于阅读的格式呈现,这种格式不仅可供受过专业培训的分析师使用,而且任何 Windows 系统管理员都可以使用。Hayabusa 并非旨在替代Evtx ExplorerEvent Log Explorer等工具以进行更深入的分析,而是旨在让分析师在 20% 的时间内完成 80% 的工作。

截图

启动

Hayabusa(隼):基于sigma的Windows事件日志分析工具 - 图2

终端输出

Hayabusa(隼):基于sigma的Windows事件日志分析工具 - 图3

事件频率时间表(-V选项)

Hayabusa(隼):基于sigma的Windows事件日志分析工具 - 图4

结果总结

Hayabusa(隼):基于sigma的Windows事件日志分析工具 - 图5

Excel中的分析

Hayabusa(隼):基于sigma的Windows事件日志分析工具 - 图6

时间线资源管理器中的分析

Hayabusa(隼):基于sigma的Windows事件日志分析工具 - 图7

时间线资源管理器中的关键警报过滤和计算机分组

Hayabusa(隼):基于sigma的Windows事件日志分析工具 - 图8

使用 Elastic Stack 仪表板进行分析

Hayabusa(隼):基于sigma的Windows事件日志分析工具 - 图9
Hayabusa(隼):基于sigma的Windows事件日志分析工具 - 图10

分析样本时间线结果

您可以在此处查看示例 CSV 时间线。
您可以在此处了解如何在 Excel 和时间线资源管理器中分析 CSV 时间线。
您可以在此处了解如何将 CSV 文件导入 Elastic Stack 。

特征

  • 跨平台支持:Windows、Linux、macOS。
  • 使用 Rust 开发,内存安全且比隼更快!
  • 多线程支持提供高达 5 倍的速度提升。
  • 为取证调查和事件响应创建一个易于分析的 CSV 时间线。
  • 基于 IoC 签名的威胁搜寻,这些签名以易于阅读/创建/编辑的基于隼规则的 YML 编写。
  • Sigma 规则支持将 Sigma 规则转换为隼规则。
  • 目前,与其他类似工具相比,它支持最多的 Sigma 规则,甚至支持计数规则和新的聚合器,例如|equalsfield.
  • 事件日志统计。(有助于了解有哪些类型的事件以及调整日志设置。)
  • 通过排除不需要或嘈杂的规则来调整规则配置。
  • MITRE ATT&CK 战术映射(仅在保存的 CSV 文件中)。
  • 规则级别调整。
  • 创建一个独特的枢轴关键字列表,以快速识别异常用户、主机名、进程等…以及关联事件。
  • 输出所有字段以进行更彻底的调查。
  • 成功和失败的登录摘要。

    计划功能

  • 在所有端点上进行企业范围的搜索。

  • MITRE ATT&CK 热图生成。

    下载

    请从发布页面下载最新稳定版本的隼和编译的二进制文件或源代码。

    Git 克隆

    您可以git clone使用以下命令存储存储库并从源代码编译二进制文件:
    1. git clone https://github.com/Yamato-Security/hayabusa.git --recursive
    警告:存储库的主要分支用于开发目的,因此您可能能够访问尚未正式发布的新功能,但是,可能存在错误,因此认为它不稳定。
    注意:如果您忘记使用 —recursive 选项,rules则作为 git 子模块管理的文件夹将不会被克隆。
    您可以使用以下命令同步rules文件夹并获取最新的 Hayabusa 规则:
    1. hayabusa-1.3.2-win-x64.exe -u
    如果更新失败,您可能需要重命名rules文件夹并重试。
    注意:更新时,文件rules夹中的规则和配置文件将替换为hayabusa-rules存储库中的最新规则和配置文件。您对现有文件所做的任何更改都将被覆盖,因此我们建议您在更新之前备份您编辑的任何文件。如果您正在使用 执行级别调整—level-tuning,请在每次更新后重新调整您的规则文件。如果您在rules文件夹内添加新规则,更新时它们不会被覆盖或删除。

    高级:从源代码编译(可选)

    如果你安装了 Rust,你可以使用以下命令从源代码编译:
    1. cargo clean cargo build --release
    您可以从主分支下载最新的不稳定版本,或者从发布页面下载最新的稳定版本。
    请务必定期更新 Rust:
    1. rustup update stable
    编译后的二进制文件将在target/release文件夹中输出。

    更新 Rust 包

    你可以在编译前更新到最新的 Rust crates:
    1. cargo update
    请让我们知道您更新后是否有任何问题。

    交叉编译 32 位 Windows 二进制文件

    您可以使用以下命令在 64 位 Windows 系统上创建 32 位二进制文件:
    1. rustup install stable-i686-pc-windows-msvc rustup target add i686-pc-windows-msvc rustup run stable-i686-pc-windows-msvc cargo build --release

    macOS 编译笔记

    如果您收到有关 openssl 的编译错误,则需要安装Homebrew,然后安装以下软件包:
    1. brew install pkg-config brew install openssl

    Linux 编译笔记

    如果您收到有关 openssl 的编译错误,则需要安装以下软件包。
    基于 Ubuntu 的发行版:
    1. sudo apt install libssl-dev
    基于 Fedora 的发行版:
    1. sudo yum install openssl-devel

    运行隼

    注意:防病毒/EDR 警告

    您可能会在尝试运行 hayabusa 或什至只是在下载规则时收到来自防病毒或 EDR 产品的警报,因为检测签名中.yml会有关键字mimikatz和可疑的 PowerShell 命令。这些是误报,因此需要在您的安全产品中配置排除项以允许隼运行。如果您担心恶意软件或供应链攻击,请检查隼源代码并自行编译二进制文件。

    Windows

    在命令提示符或 Windows 终端中,只需从 hayabusa 根目录运行 32 位或 64 位 Windows 二进制文件。例子:hayabusa-1.3.2-windows-x64.exe

    Linux

    您首先需要使二进制可执行文件:
    1. chmod +x ./hayabusa-1.3.2-linux-x64-gnu
    然后从 Hayabusa 根目录运行它:
    1. ./hayabusa-1.3.2-linux-x64-gnu

    苹果系统

    从终端或 iTerm2,您首先需要使二进制可执行文件:
    1. chmod +x ./hayabusa-1.3.2-mac-intel
    然后,尝试从隼根目录运行它:
    1. ./hayabusa-1.3.2-mac-intel
    在最新版本的 macOS 上,当您尝试运行它时可能会收到以下安全错误:
    Hayabusa(隼):基于sigma的Windows事件日志分析工具 - 图11
    单击“取消”,然后从“系统偏好设置”中打开“安全和隐私”,然后从“常规”选项卡中单击“仍然允许”。
    Hayabusa(隼):基于sigma的Windows事件日志分析工具 - 图12
    之后,尝试再次运行它:
    1. ./hayabusa-1.3.2-mac-intel
    会弹出以下警告,请点击“打开”:
    Hayabusa(隼):基于sigma的Windows事件日志分析工具 - 图13
    您现在应该可以运行隼了。

    用法

    命令行选项

    ```shell USAGE: hayabusa.exe -f file.evtx [OPTIONS] / hayabusa.exe -d evtx-directory [OPTIONS]

OPTIONS: —European-time Output timestamp in European time format (ex: 22-02-2022 22:00:00.123 +02:00) —RFC-2822 Output timestamp in RFC 2822 format (ex: Fri, 22 Feb 2022 22:00:00 -0600) —RFC-3339 Output timestamp in RFC 3339 format (ex: 2022-02-22 22:00:00.123456-06:00) —US-military-time Output timestamp in US military time format (ex: 02-22-2022 22:00:00.123 -06:00) —US-time Output timestamp in US time format (ex: 02-22-2022 10:00:00.123 PM -06:00) —all-tags Output all tags when saving to a CSV file -c, —config Specify custom rule config folder (default: ./rules/config) —contributors Print the list of contributors -d, —directory Directory of multiple .evtx files -D, —enable-deprecated-rules Enable rules marked as deprecated —end-timeline End time of the event logs to load (ex: “2022-02-22 23:59:59 +09:00”) -f, —filepath File path to one .evtx file -F, —full-data Print all field information -h, —help Print help information -l, —live-analysis Analyze the local C:\Windows\System32\winevt\Logs folder -L, —logon-summary Print a summary of successful and failed logons —level-tuning Tune alert levels (default: ./rules/config/level_tuning.txt) -m, —min-level Minimum level for rules (default: informational) -n, —enable-noisy-rules Enable rules marked as noisy —no-color Disable color output -o, —output Save the timeline in CSV format (ex: results.csv) -p, —pivot-keywords-list Create a list of pivot keywords -q, —quiet Quiet mode: do not display the launch banner -Q, —quiet-errors Quiet errors mode: do not save error logs -r, —rules Specify a rule directory or file (default: ./rules) -R, —hide-record-ID Do not display EventRecordID numbers -s, —statistics Print statistics of event IDs —start-timeline Start time of the event logs to load (ex: “2020-02-22 00:00:00 +09:00”) -t, —thread-number Thread number (default: optimal number for performance) -u, —update-rules Update to the latest rules in the hayabusa-rules github repository -U, —UTC Output time in UTC format (default: local time) -v, —verbose Output verbose information -V, —visualize-timeline Output event frequency timeline —version Print version information

  1. <a name="CN8bO"></a>
  2. ### 使用示例
  3. - 针对一个 Windows 事件日志文件运行 hayabusa:
  4. hayabusa-1.3.2-win-x64.exe -f eventlog.evtx
  5. - 使用多个 Windows 事件日志文件对 sample-evtx 目录运行 hayabusa:
  6. hayabusa-1.3.2-win-x64.exe -d .\hayabusa-sample-evtx
  7. - 导出到单个 CSV 文件以使用 excel、时间线资源管理器、弹性堆栈等进行进一步分析...并包括所有字段信息:
  8. hayabusa-1.3.2-win-x64.exe -d .\hayabusa-sample-evtx -o results.csv -F
  9. - 只运行隼规则(默认是运行所有规则-r .\rules):
  10. hayabusa-1.3.2-win-x64.exe -d .\hayabusa-sample-evtx -r .\rules\hayabusa -o results.csv
  11. - 仅对 Windows 默认启用的日志运行 hayabusa 规则:
  12. hayabusa-1.3.2-win-x64.exe -d .\hayabusa-sample-evtx -r .\rules\hayabusa\default -o results.csv
  13. - 仅对 sysmon 日志运行 hayabusa 规则:
  14. hayabusa-1.3.2-win-x64.exe -d .\hayabusa-sample-evtx -r .\rules\hayabusa\sysmon -o results.csv
  15. - 只运行 Sigma 规则:
  16. hayabusa-1.3.2-win-x64.exe -d .\hayabusa-sample-evtx -r .\rules\Sigma -o results.csv
  17. - 启用弃用规则(status标记为deprecated的规则)和嘈杂规则(规则 ID 列在 中的规则.\rules\config\noisy_rules.txt):
  18. hayabusa-1.3.2-win-x64.exe -d .\hayabusa-sample-evtx --enable-noisy-rules --enable-deprecated-rules -o results.csv
  19. - 仅运行规则以分析 UTC 时区中的登录和输出:
  20. hayabusa-1.3.2-win-x64.exe -d .\hayabusa-sample-evtx -r .\rules\hayabusa\default\events\Security\Logons -U -o results.csv
  21. - 在实时 Windows 机器上运行(需要管理员权限)并且只检测警报(潜在的恶意行为):
  22. hayabusa-1.3.2-win-x64.exe -l -m low
  23. - 从关键警报创建一个枢轴关键字列表并保存结果。(结果将保存到keywords-Ip Addresses.txt、keywords-Users.txt等...):
  24. hayabusa-1.3.2-win-x64.exe -l -m critical -p -o keywords
  25. - 打印事件 ID 统计信息:
  26. hayabusa-1.3.2-win-x64.exe -f Security.evtx -s
  27. - 打印详细信息(用于确定哪些文件需要很长时间处理、解析错误等...):
  28. hayabusa-1.3.2-win-x64.exe -d .\hayabusa-sample-evtx -v
  29. - 详细输出示例:
  30. ```shell
  31. Checking target evtx FilePath: "./hayabusa-sample-evtx/YamatoSecurity/T1027.004_Obfuscated Files or Information\u{a0}Compile After Delivery/sysmon.evtx"
  32. 1 / 509 [>-------------------------------------------------------------------------------------------------------------------------------------------] 0.20 % 1s
  33. Checking target evtx FilePath: "./hayabusa-sample-evtx/YamatoSecurity/T1558.004_Steal or Forge Kerberos Tickets AS-REP Roasting/Security.evtx"
  34. 2 / 509 [>-------------------------------------------------------------------------------------------------------------------------------------------] 0.39 % 1s
  35. Checking target evtx FilePath: "./hayabusa-sample-evtx/YamatoSecurity/T1558.003_Steal or Forge Kerberos Tickets\u{a0}Kerberoasting/Security.evtx"
  36. 3 / 509 [>-------------------------------------------------------------------------------------------------------------------------------------------] 0.59 % 1s
  37. Checking target evtx FilePath: "./hayabusa-sample-evtx/YamatoSecurity/T1197_BITS Jobs/Windows-BitsClient.evtx"
  38. 4 / 509 [=>------------------------------------------------------------------------------------------------------------------------------------------] 0.79 % 1s
  39. Checking target evtx FilePath: "./hayabusa-sample-evtx/YamatoSecurity/T1218.004_Signed Binary Proxy Execution\u{a0}InstallUtil/sysmon.evtx"
  40. 5 / 509 [=>------------------------------------------------------------------------------------------------------------------------------------------] 0.98 % 1s
  • 安静的错误模式:默认情况下,隼会将错误消息保存到错误日志文件中。如果您不想保存错误消息,请添加-Q.

    枢轴关键字生成器

    您可以使用-por—pivot-keywords-list选项来创建唯一的枢轴关键字列表,以快速识别异常用户、主机名、进程等…以及关联事件。您可以通过编辑自定义要搜索的关键字config/pivot_keywords.txt。这是默认设置:

    1. Users.SubjectUserName
    2. Users.TargetUserName
    3. Users.User
    4. Logon IDs.SubjectLogonId
    5. Logon IDs.TargetLogonId
    6. Workstation Names.WorkstationName
    7. Ip Addresses.IpAddress
    8. Processes.Image

    格式为KeywordName.FieldName. 例如,在创建 的列表时Users,隼会列出SubjectUserName,TargetUserName和User字段中的所有值。默认情况下,隼将返回所有事件的结果(信息性和更高级别),因此我们强烈建议将该—pivot-keyword-list选项与-mor—min-level选项结合使用。例如,从仅从critical警报中创建关键字开始-m critical,然后继续使用-m high,-m medium等…您的结果中很可能会出现与许多正常事件匹配的常见关键字,因此在手动检查结果并创建列表之后单个文件中的唯一关键字,然后您可以使用类似grep -f keywords.txt timeline.csv.

    登录摘要生成器

    您可以使用-Lor—logon-summary选项输出登录信息摘要(登录用户名以及成功和失败的登录计数)。您可以使用该选项显示一个 evtx 文件-f或多个 evtx 文件的登录信息。-d

    在示例 Evtx 文件上测试 Hayabusa

    我们在https://github.com/Yamato-Security/hayabusa-sample-evtx提供了一些示例 evtx 文件供您测试 hayabusa 和/或创建新规则
    您可以使用以下命令将示例 evtx 文件下载到新hayabusa-sample-evtx的子目录:

    1. git clone https://github.com/Yamato-Security/hayabusa-sample-evtx.git

    注意:您需要从 Hayabusa 根目录运行二进制文件。

    隼输出

    当隼输出显示在屏幕上时(默认),它将显示以下信息:

  • Timestamp:默认为YYYY-MM-DD HH:mm:ss.sss +hh:mm格式。这来自事件日志中的字段。默认时区将是本地时区,但您可以使用该—utc选项将时区更改为 UTC。

  • Computer:这来自事件日志中的字段。
  • Channel: 日志名称。这来自事件日志中的字段。
  • Event ID:这来自事件日志中的字段。
  • Level:来自levelYML检测规则中的字段。( informational, low, medium, high, critical) 默认情况下,将显示所有级别警报,但您可以使用 设置最低级别-m。例如,您可以设置-m high) 以便仅扫描并显示高危警报。
  • RecordID:这来自事件日志中的字段。-R您可以使用or—hide-record-id选项隐藏此输出。
  • Title:来自titleYML检测规则中的字段。
  • Details:这个来自detailsYML检测规则中的字段,但是只有隼规则有这个字段。此字段提供有关警报或事件的额外信息,并且可以从日志部分中提取有用的数据。比如用户名、命令行信息、进程信息等……当占位符指向不存在的字段或者别名映射不正确时,会输出为n/a(不可用)。

保存到 CSV 文件时,以下附加列将添加到输出中:

  • MitreAttack: MITRE ATT&CK 战术。
  • Rule Path:生成警报或事件的检测规则的路径。
  • File Path:导致警报或事件的 evtx 文件的路径。

如果添加-For--full-data选项,RecordInformation还会添加包含所有字段信息的列。

级别缩写

为了节省空间,我们在显示警报时使用以下缩写level。

  • crit:critical
  • high:high
  • med :med
  • low :low
  • info:informational

    MITRE ATT&CK 战术缩写

    为了节省空间,我们在显示 MITRE ATT&CK 战术标签时使用以下缩写。config/output_tag.txt您可以在配置文件中自由编辑这些缩写。如果要输出规则中定义的所有标签,请指定—all-tags选项。

  • Recon: 侦察

  • ResDev: 资源开发
  • InitAccess: 初始访问
  • Exec: 执行
  • Persis: 坚持
  • PrivEsc: 权限提升
  • Evas: 防御回避
  • CredAccess: 凭证访问
  • Disc: 发现
  • LatMov: 横向运动
  • Collect: 收藏
  • C2: 命令与控制
  • Exfil: 渗出
  • Impact: 影响

    频道缩写

    为了节省空间,我们在显示 Channel 时使用以下缩写。config/channel_abbreviations.txt您可以在配置文件中自由编辑这些缩写。

  • App:Application

  • AppLocker:Microsoft-Windows-AppLocker/*
  • BitsCli:Microsoft-Windows-Bits-Client/Operational
  • CodeInteg:Microsoft-Windows-CodeIntegrity/Operational
  • Defender:Microsoft-Windows-Windows Defender/Operational
  • DHCP-Svr:Microsoft-Windows-DHCP-Server/Operational
  • DNS-Svr:DNS Server
  • DvrFmwk:Microsoft-Windows-DriverFrameworks-UserMode/Operational
  • Exchange:MSExchange Management
  • Firewall:Microsoft-Windows-Windows Firewall With Advanced Security/Firewall
  • KeyMgtSvc:Key Management Service
  • LDAP-Cli:Microsoft-Windows-LDAP-Client/Debug
  • NTLM Microsoft-Windows-NTLM/Operational
  • OpenSSH:OpenSSH/Operational
  • PrintAdm:Microsoft-Windows-PrintService/Admin
  • PrintOp:Microsoft-Windows-PrintService/Operational
  • PwSh:Microsoft-Windows-PowerShell/Operational
  • PwShClassic:Windows PowerShell
  • RDP-Client:Microsoft-Windows-TerminalServices-RDPClient/Operational
  • Sec:Security
  • SecMitig:Microsoft-Windows-Security-Mitigations/*
  • SmbCliSec:Microsoft-Windows-SmbClient/Security
  • SvcBusCli:Microsoft-ServiceBus-Client
  • Sys:System
  • Sysmon:Microsoft-Windows-Sysmon/Operational
  • TaskSch:Microsoft-Windows-TaskScheduler/Operational
  • WinRM:Microsoft-Windows-WinRM/Operational
  • WMI:Microsoft-Windows-WMI-Activity/Operational

    进度条

    进度条仅适用于多个 evtx 文件。它将实时显示已完成分析的 evtx 文件的数量和百分比。

    颜色输出

    警报将根据警报以颜色输出level。您可以更改配置文件中的默认颜色,./config/level_color.txt格式为level,(RGB 6-digit ColorHex). 如果要禁用颜色输出,可以使用—no-color选项。

    事件频率时间表

    如果您添加-V--visualize-timeline选项,事件频率时间线功能将显示检测到的事件的迷你图频率时间线。注意:需要有 5 个以上的事件。此外,字符不会在默认命令提示符或 PowerShell 提示符上正确呈现,因此请使用 Windows Terminal、iTerm2 等终端…

    总检测次数最多的日期

    critical按级别( 、high等…)分类的检测总数最多的日期的摘要。

    具有最独特检测的前 5 台计算机

    critical按级别( 、high等…)分类的具有最独特检测的前 5 台计算机。

    隼规则

    Hayabusa 检测规则以类似 Sigma 的 YML 格式编写,位于rules文件夹中。
    将来,我们计划在https://github.com/Yamato-Security/hayabusa-rules托管规则,因此请在此处而不是主要的 hayabusa 存储库中发送任何问题和拉取规则请求。
    请阅读hayabusa-rules 存储库 README以了解规则格式以及如何创建规则。
    hayabusa-rules 存储库中的所有规则都应放在该rules文件夹中。 informational考虑级别规则events,同时考虑任何具有 alevel和low更高级别的规则alerts。
    隼规则目录结构分为3个目录:

  • default: 默认情况下在 Windows 中打开的日志。

  • non-default:需要通过组策略、安全基线等开启的日志……
  • sysmon: 由sysmon生成的日志。
  • testing:一个临时目录,用于放置您当前正在测试的规则。

规则进一步按日志类型(例如:安全、系统等)分隔到目录中,并以下列格式命名:

  • Alert format: .yml
  • Alert example: 1102_SecurityLogCleared_PossibleAntiForensics.yml
  • Event format: _.yml
  • Event example: 4776_NTLM-LogonToLocalAccount.yml

请查看当前规则以用作创建新规则或检查检测逻辑的模板。

隼与转换Sigma规则

Sigma 规则需要先转换为此处解释的隼规则格式。
几乎所有隼规则都与 Sigma 格式兼容,因此您可以像使用 Sigma 规则一样使用它们来转换为其他 SIEM 格式。Hayabusa 规则专为 Windows 事件日志分析而设计,具有以下优点:

  1. 一个额外的details字段,用于显示仅从日志中的有用字段中获取的附加信息。
  2. 它们都针对样本日志进行了测试,并且已知可以正常工作。由于转换过程中的错误、不受支持的功能或实现的差异(例如在正则表达式中),某些 Sigma 规则可能无法按预期工作。
  3. 在 Sigma 中找不到额外的聚合器,例如|equalsfield.

限制:据我们所知,隼在所有开源 Windows 事件日志分析工具中对 Sigma 规则的支持最大,但仍有一些规则不受支持:

  1. 使用不适用于Rust regex crate的正则表达式的规则
  2. 除了Sigma 规则规范count中的聚合表达式。
  3. 使用|near

    检测规则调整

    与防火墙和 IDS 一样,任何基于签名的工具都需要进行一些调整以适应您的环境,因此您可能需要永久或暂时排除某些规则。
    您可以添加规则 ID(示例4fe151c2-ecf9-4fae-95ae-b88ec9c2fca6:)rules/config/exclude_rules.txt以忽略您不需要或无法使用的任何规则。
    您还可以添加一个规则 ID rules/config/noisy_rules.txt,以便默认忽略该规则,但仍可以通过-nor—enable-noisy-rules选项使用该规则。

    检测水平调整

    Hayabusa 和 Sigma 规则作者将在编写规则时确定警报的风险级别。但是,实际风险级别会因环境而异。您可以通过将规则添加到./rules/config/level_tuning.txt并执行hayabusa-1.3.2-win-x64.exe —level-tuning将更新level规则文件中的行来调整规则的风险级别。请注意,规则文件将直接更新。
    ./rules/config/level_tuning.txt样品线:
    id,new_level 00000000-0000-0000-0000-000000000000,informational # sample level tuning line
    在这种情况下,规则目录中带有 of 的规则的风险级别将id被重写为.00000000-0000-0000-0000-000000000000levelinformational

    事件 ID 过滤

    您可以通过在 中放置事件 ID 号来过滤事件 ID config/target_eventids.txt。这将提高性能,因此如果您只需要搜索某些 ID,建议您这样做。
    我们在所有规则中config/target_eventids_sample.txt的EventID字段以及实际结果中看到的 ID 中提供了一个示例 ID 过滤器列表。
    如果您希望获得最佳性能,请使用此列表,但请注意可能会丢失事件(误报)。

    贡献

    我们愿意任何形式的贡献。拉取请求、规则创建和示例 evtx 日志是最好的,但功能请求、通知我们错误等……也非常受欢迎。
    至少,如果您喜欢我们的工具,那么请在 Github 上给我们一颗星并表示您的支持!

    错误提交

    请在此处提交您发现的任何错误 该项目目前正在积极维护中,我们很乐意修复报告的任何错误。
    如果您发现隼规则的任何问题(误报、错误等),请在此处向隼规则 github 问题页面报告。
    如果您发现 Sigma 规则有任何问题(误报、错误等),请在此处向上游 SigmaHQ github 问题页面报告。

    推特

    您可以通过@SecurityYamato在 Twitter 上关注我们,接收有关 Hayabusa、规则更新、其他 Yamato 安全工具等的最新消息。

    👍👍👍其他 Windows 事件日志分析器和相关资源👍👍👍

    没有“一个工具可以统治一切”,我们发现每个工具都有自己的优点,所以我们建议查看这些其他出色的工具和项目,看看你喜欢哪些。