Hayabusaとは

Hayabusaは、Windowsイベントログを高速に解析するためのオープンソースのフォレンジックツールです。Zach Mathis (田中ザック)氏が中心になって開発され、インシデント対応や脅威ハンティング等に使用されています。

主な特徴

• 高速な解析: 数百万件のイベントログを数分で処理可能
• カスタマイズ可能なルール: YAMLベースのルールで柔軟な検知が可能
• 多言語対応: 日本語を含む複数言語での出力をサポート
• オフライン解析: ライブシステムだけでなく、オフラインのイベントログも解析可能

使用方法

以下に、簡単ですがいくつかの使用例を記載します。

ログイン一覧の確認

hayabusa-2.16.0-win-x64.exe logon-summary --live-analysis

全体的なタイムライン生成

hayabusa-2.16.0-win-x64.exe csv-timeline --live-analysis

出力形式

Hayabusaは以下の形式で結果を出力できます。

• CSV
• JSON
• HTML

活用シーン