-
Notifications
You must be signed in to change notification settings - Fork 207
利用例
DustInDark edited this page Apr 21, 2022
·
1 revision
- 1つのWindowsイベントログファイルに対してHayabusaを実行します:
hayabusa.exe -f eventlog.evtx
- 複数のWindowsイベントログファイルのあるsample-evtxディレクトリに対して、Hayabusaを実行します:
hayabusa.exe -d .\hayabusa-sample-evtx
- 全てのフィールド情報も含めて1つのCSVファイルにエクスポートして、Excel、Timeline Explorer、Elastic Stack等でさらに分析することができます:
hayabusa.exe -d .\hayabusa-sample-evtx -o results.csv -F
- Hayabusaルールのみを実行します(デフォルトでは
-r .\rules
にあるすべてのルールが利用されます):
hayabusa.exe -d .\hayabusa-sample-evtx -r .\rules\hayabusa -o results.csv
- Windowsでデフォルトで有効になっているログに対してのみ、Hayabusaルールを実行します:
hayabusa.exe -d .\hayabusa-sample-evtx -r .\rules\hayabusa\default -o results.csv
- Sysmonログに対してのみHayabusaルールを実行します:
hayabusa.exe -d .\hayabusa-sample-evtx -r .\rules\hayabusa\sysmon -o results.csv
- Sigmaルールのみを実行します:
hayabusa.exe -d .\hayabusa-sample-evtx -r .\rules\sigma -o results.csv
- 廃棄(deprecated)されたルール(
status
がdeprecated
になっているルール)とノイジールール(.\rules\config\noisy_rules.txt
にルールIDが書かれているルール)を有効にします:
hayabusa.exe -d .\hayabusa-sample-evtx --enable-deprecated-rules --enable-noisy-rules -o results.csv
- ログオン情報を分析するルールのみを実行し、UTCタイムゾーンで出力します:
hayabusa.exe -d .\hayabusa-sample-evtx -r .\rules\hayabusa\default\events\Security\Logons -U -o results.csv
- 起動中のWindows端末上で実行し(Administrator権限が必要)、アラート(悪意のある可能性のある動作)のみを検知します:
hayabusa.exe -l -m low
- criticalレベルのアラートからピボットキーワードの一覧を作成します(結果は結果毎に
keywords-Ip Address.txt
やkeyworss-Users.txt
等に出力されます):
hayabusa.exe -l -m critical -p -o keywords
- イベントIDの統計情報を取得します:
hayabusa.exe -f Security.evtx -s
- 詳細なメッセージを出力します(処理に時間がかかるファイル、パースエラー等を特定するのに便利):
hayabusa.exe -d .\hayabusa-sample-evtx -v
- Verbose出力の例:
Checking target evtx FilePath: "./hayabusa-sample-evtx/YamatoSecurity/T1027.004_Obfuscated Files or Information\u{a0}Compile After Delivery/sysmon.evtx"
1 / 509 [>-------------------------------------------------------------------------------------------------------------------------------------------] 0.20 % 1s
Checking target evtx FilePath: "./hayabusa-sample-evtx/YamatoSecurity/T1558.004_Steal or Forge Kerberos Tickets AS-REP Roasting/Security.evtx"
2 / 509 [>-------------------------------------------------------------------------------------------------------------------------------------------] 0.39 % 1s
Checking target evtx FilePath: "./hayabusa-sample-evtx/YamatoSecurity/T1558.003_Steal or Forge Kerberos Tickets\u{a0}Kerberoasting/Security.evtx"
3 / 509 [>-------------------------------------------------------------------------------------------------------------------------------------------] 0.59 % 1s
Checking target evtx FilePath: "./hayabusa-sample-evtx/YamatoSecurity/T1197_BITS Jobs/Windows-BitsClient.evtx"
4 / 509 [=>------------------------------------------------------------------------------------------------------------------------------------------] 0.79 % 1s
Checking target evtx FilePath: "./hayabusa-sample-evtx/YamatoSecurity/T1218.004_Signed Binary Proxy Execution\u{a0}InstallUtil/sysmon.evtx"
5 / 509 [=>------------------------------------------------------------------------------------------------------------------------------------------] 0.98 % 1s
- エラーログの出力をさせないようにする:
デフォルトでは、Hayabusaはエラーメッセージをエラーログに保存します。
エラーメッセージを保存したくない場合は、
-Q
を追加してください。
Translated Usage Examples