Open in app

Sign in

Write

Sign in

HAYABUSA — Windows Event Log Fast Forensics Timeline Generator and Threat Hunting Tool

Megi Pramesti
MII Cyber Security Consulting Services
Published in
3 min readJan 14, 2022

About HAYABUSA by Yamato Security

“Hayabusa is a Windows event log fast forensics timeline generator and threat hunting tool created by the Yamato Security group in Japan. Hayabusa means “peregrine falcon” in Japanese and was chosen as peregrine falcons are the fastest animal in the world, great at hunting, and highly trainable. It is written in Rust and supports multi-threading in order to be as fast as possible. We have provided a tool to convert sigma rules into hayabusa rule format. The hayabusa detection rules, like sigma, are also written in YML in order to be as easily customizable and extensible as possible. It can be run either on running systems for live analysis or by gathering logs from multiple systems for offline analysis. (At the moment, it does not support real-time alerting or periodic scans.) The output will be consolidated into a single CSV timeline for easy analysis in Excel or Timeline Explorer.”

Hallo! Dipostingan ini kami mencoba menjelaskan untuk penggunaan tools HAYABUSA. Secara singkat, HAYABUSA ini adalah perpaduan antara Threat Hunting dan sekaligus melakukan aktivitas Timeline terhadap Windows Event Log (evtx).

Rekan-rekan bisa download tools ini melalui ( https://github.com/Yamato-Security/hayabusa )

Pada tulisan ini saya menggunakan contoh Windows Event Log (evtx) MITRE-ATTACK (https://github.com/mdecrevoisier/EVTX-to-MITRE-Attack) atau bisa menggunakan sample Windows Event Log (evtx) lain yang bisa anda gunakan.

Windows Event Log MITRE-ATTACK

Jika proses instalasi Hayabusa sudah selesai dan sudah menyiapkan Windows Event Log (evtx) nya saatnya melakukan eksekusi. Disini kami menggunakan contoh event log ID1116–1117-Defender threat detected
terdapat pada folder EVTX-to-MITRE-Attack\Antivirus Menggunakan perintah dasar .\hayabusa.exe –f eventlog.evtx

Hasilnya sudah terlihat dan sangat meminimalisir waktu ketika melakukan analisis. Terlihat informasi yang kita dapatkan cukup kompleks mulai dari Timestamp, Computer, EventID, Level, RuleTitle dan Details.

Agar lebih mudah di lihat, anda dapat melakukan convert hasil dari analisis ke dalam format csv cukup dengan````` menambahkan -o dan nama file yang kalian inginkan, disini saya menggunakan nama file hasil-forensik.csv jadi perintahnya -o hasil-forensik.csv

Jika sudah berhasil akan muncul hasilnya convertnya tetapi hasilnya masih berantakan ini membutuhkan tools yang namanya TimelineExplorer ( Eric Zimmerman’s tools ) atau menggunakan editor online ( CSV Viewer and Editor (convertcsv.com) )

Dengan menggunakan Hayabusa ini akan mempermudah kita dalam melakukan sorting untuk Event Log terntentu dalam timeline waktu tertentu serta melakukan matching terhadap rules yang sudah ada seperti Sigma Rules maupun Rules bawaan dari Hayabusa. Sehingga harapannya adalah membantu kita menemukan outliers dan anomaly yang ada dari Event Log tersebut.

Happy Hunting!

Defensive Security
Blue Team
Digital Forensics
Incident Response
Threat Hunting

--

--

Megi Pramesti
MII Cyber Security Consulting Services

Written by Megi Pramesti

16 Followers
Editor for

Привет!

Help

Status

About

Careers

Press

Blog

Privacy

Terms

Text to speech

Teams