Hayabusa
기능
1. 대규모 로그 통합 분석
- Event Viewer의 한계:
- 단일 시스템의 실시간 로그 확인에 최적화되어 있음.
- 다수의 EVTX 파일을 동시에 분석하거나 타임라인으로 통합하는 기능이 없음.
- Hayabusa의 장점:
- 여러 시스템/로그 파일을 한 번에 스캔하여 단일 CSV/JSON 타임라인으로 통합.
- 예:
hayabusa csv-timeline -d C:\Logs -o timeline.csv로 수백 개의 EVTX 파일을 1분 내 분석.
2. 자동화된 위협 탐지 (Detection Rules)
- Event Viewer의 한계:
- 수동으로 이벤트 ID나 키워드를 검색해야 함 (e.g., "mimikatz", "계정 생성").
- 알려진 공격 패턴에 대한 사전 정의된 탐지 규칙이 없음.
- Hayabusa의 장점:
- 4,000+개의 Sigma 규칙과 170+개의 Hayabusa 전용 규칙으로 자동 탐지.
- MITRE ATT&CK 매핑을 통해 공격자의 전술/기법 식별.
- 예:
critical 레벨 알림으로 즉시 대응이 필요한 위협 강조.
3. 고속 처리 및 최적화
- Event Viewer의 한계:
- 대용량 로그 파일(10GB 이상) 처리 시 성능 저하.
- 멀티스레딩 미지원.
- Hayabusa의 장점
- Rust 기반 메모리 안전성 + 멀티스레딩으로 초고속 분석 (기존 도구 대비 5~10배 빠름).
- 1분 내에 10만 개 이상의 이벤트 처리 가능.
4. 포렌식 친화적 출력
- Event Viewer의 한계:
- CSV/JSON 출력 시 필드 정리 불가.
- 중복 이벤트 제거, 시간대 변환 등의 기능 없음.
- Hayabusa의 장점:
- 정규화된 필드:
User, Process, IP 등 주요 포렌식 지표를 일관된 형식으로 추출.
- 중복 제거:
-X 옵션으로 동일한 알림 제거.
- 시간대 변환:
-U 옵션으로 UTC 시간 출력.
- 예:
Timestamp, Computer, RuleTitle, Details 구조로 LibreOffice/Timeline Explorer에서 즉시 분석 가능.
5. 고급 분석 기능
- Event Viewer에 없는 Hayabusa 전용 기능:
- Logon Summary: 성공/실패 로그온 이벤트 요약 (
logon-summary 명령어).
- Pivot Keywords: 의심스러운 사용자, 호스트, 프로세스 키워드 추출 (
pivot-keywords-list).
- Base64 디코딩: 로그 내 암호화된 문자열 자동 추출 및 디코딩 (
extract-base64).
- GeoIP 연동: IP 주소의 ASN/국가 정보 추가 (
-G 옵션).
6. 유연한 필터링 및 커스터마이징
- 규칙 튜닝
level-tuning으로 특정 규칙의 위험도 조정.noisy_rules.txt를 통해 false positive가 많은 규칙 비활성화.
- 대상 필터링:
--include-computer 또는 --exclude-eid로 분석 범위 제한.
7. 엔터프라이즈 지원
- Velociraptor 연동:
- 네트워크 전체의 엔드포인트에서 로그 수집 + Hayabusa 분석 자동화.
- Elastic Stack/Timesketch 호환:
- JSON/CSV 출력을 SIEM 도구에 직접 연동하여 대시보드 구축.
Reference