Yamato-Security/hayabusa
کاربرد:
این ابزار یک موتور تحلیل رفتارهای مخرب در لاگهای ویندوز بر پایه قوانین Sigma است که به صورت سریع، جستجوی تهدیدات (Threat Hunting) و تولید خط زمانی (Timeline Analysis) را انجام میدهد. ️
در چه شرایطی بهتره استفاده شود؟
وقتی نیاز داری به صورت سریع و خودکار، لاگهای ویندوز رو بررسی کنی تا فعالیتهای مشکوک مثل حرکت جانبی، اجرای دستورات از راه دور یا دسترسی غیرعادی به فایلها رو شناسایی کنی.
بهترین زمان استفاده، در حین پاسخ به حوادث امنیتی (Incident Response) یا بررسی سیستمهای مشکوک پس از یک نقض امنیتی است.
چند مثال از موارد استفاده
- شناسایی فعالیتهای PsExec یا WMI که اغلب توسط مهاجمان برای حرکت جانبی استفاده میشوند.
- تشخیص ایجاد Scheduled Tasks توسط نرمافزارهای مخرب.
- پیدا کردن لاگهای مربوط به Logon events با IPهای غیرمعمول یا زمانهای عجیب.
- تولید خط زمانی از فعالیتهای کاربر و سیستم برای درک بهتر توالی حمله.
- اجرای قوانین Sigma بدون نیاز به SIEM، مناسب محیطهای کوچک یا آفلاین.
- ##ThreatHunting
- ##IncidentResponse
- ##SigmaRules
- ##WindowsLogs
- ##Forensics
- ##CyberSecurity
- ##SOC
- ##BlueTeam
- ##TimelineAnalysis
- ##DFIR