Skip to content

利用例

Jump to bottom
DustInDark edited this page Apr 21, 2022 · 1 revision
  • 1つのWindowsイベントログファイルに対してHayabusaを実行します:
hayabusa.exe -f eventlog.evtx
  • 複数のWindowsイベントログファイルのあるsample-evtxディレクトリに対して、Hayabusaを実行します:
hayabusa.exe -d .\hayabusa-sample-evtx
  • 全てのフィールド情報も含めて1つのCSVファイルにエクスポートして、Excel、Timeline Explorer、Elastic Stack等でさらに分析することができます:
hayabusa.exe -d .\hayabusa-sample-evtx -o results.csv -F
  • Hayabusaルールのみを実行します(デフォルトでは -r .\rules にあるすべてのルールが利用されます):
hayabusa.exe -d .\hayabusa-sample-evtx -r .\rules\hayabusa -o results.csv
  • Windowsでデフォルトで有効になっているログに対してのみ、Hayabusaルールを実行します:
hayabusa.exe -d .\hayabusa-sample-evtx -r .\rules\hayabusa\default -o results.csv
  • Sysmonログに対してのみHayabusaルールを実行します:
hayabusa.exe -d .\hayabusa-sample-evtx -r .\rules\hayabusa\sysmon -o results.csv
  • Sigmaルールのみを実行します:
hayabusa.exe -d .\hayabusa-sample-evtx -r .\rules\sigma -o results.csv
  • 廃棄(deprecated)されたルール(statusdeprecatedになっているルール)とノイジールール(.\rules\config\noisy_rules.txtにルールIDが書かれているルール)を有効にします:
hayabusa.exe -d .\hayabusa-sample-evtx --enable-deprecated-rules --enable-noisy-rules -o results.csv
  • ログオン情報を分析するルールのみを実行し、UTCタイムゾーンで出力します:
hayabusa.exe -d .\hayabusa-sample-evtx -r .\rules\hayabusa\default\events\Security\Logons -U -o results.csv
  • 起動中のWindows端末上で実行し(Administrator権限が必要)、アラート(悪意のある可能性のある動作)のみを検知します:
hayabusa.exe -l -m low
  • criticalレベルのアラートからピボットキーワードの一覧を作成します(結果は結果毎にkeywords-Ip Address.txtkeyworss-Users.txt等に出力されます):
hayabusa.exe -l -m critical -p -o keywords
  • イベントIDの統計情報を取得します:
hayabusa.exe -f Security.evtx -s
  • 詳細なメッセージを出力します(処理に時間がかかるファイル、パースエラー等を特定するのに便利):
hayabusa.exe -d .\hayabusa-sample-evtx -v
  • Verbose出力の例:
Checking target evtx FilePath: "./hayabusa-sample-evtx/YamatoSecurity/T1027.004_Obfuscated Files or Information\u{a0}Compile After Delivery/sysmon.evtx"
1 / 509 [>-------------------------------------------------------------------------------------------------------------------------------------------] 0.20 % 1s 
Checking target evtx FilePath: "./hayabusa-sample-evtx/YamatoSecurity/T1558.004_Steal or Forge Kerberos Tickets AS-REP Roasting/Security.evtx"
2 / 509 [>-------------------------------------------------------------------------------------------------------------------------------------------] 0.39 % 1s 
Checking target evtx FilePath: "./hayabusa-sample-evtx/YamatoSecurity/T1558.003_Steal or Forge Kerberos Tickets\u{a0}Kerberoasting/Security.evtx"
3 / 509 [>-------------------------------------------------------------------------------------------------------------------------------------------] 0.59 % 1s 
Checking target evtx FilePath: "./hayabusa-sample-evtx/YamatoSecurity/T1197_BITS Jobs/Windows-BitsClient.evtx"
4 / 509 [=>------------------------------------------------------------------------------------------------------------------------------------------] 0.79 % 1s 
Checking target evtx FilePath: "./hayabusa-sample-evtx/YamatoSecurity/T1218.004_Signed Binary Proxy Execution\u{a0}InstallUtil/sysmon.evtx"
5 / 509 [=>------------------------------------------------------------------------------------------------------------------------------------------] 0.98 % 1s
  • エラーログの出力をさせないようにする: デフォルトでは、Hayabusaはエラーメッセージをエラーログに保存します。 エラーメッセージを保存したくない場合は、-Qを追加してください。

Translated Usage Examples

Hayabusa

General

Preparation

Usage

Hayabusa Rules

Other


日本語版はこちら(Japanese Translation ver.)

Hayabusaについて

準備

使用方法

Hayabusaルール

その他

Clone this wiki locally