diff --git a/README-Japanese.md b/README-Japanese.md index 7a391ba6..3ab75b4b 100644 --- a/README-Japanese.md +++ b/README-Japanese.md @@ -17,6 +17,47 @@ Hayabusaは、日本の[Yamato Security](https://yamatosecurity.connpass.com/)グループによって作られた**Windowsイベントログのファストフォレンジックタイムライン生成**および**スレットハンティングツール**です。 Hayabusaは日本語で[「ハヤブサ」](https://en.wikipedia.org/wiki/Peregrine_falcon)を意味し、ハヤブサが世界で最も速く、狩猟(hunting)に優れ、とても訓練しやすい動物であることから選ばれました。[Rust](https://www.rust-lang.org/) で開発され、マルチスレッドに対応し、可能な限り高速に動作するよう配慮されています。[Sigma](https://github.com/SigmaHQ/Sigma)ルールをHayabusaルール形式に変換する[ツール](https://github.com/Yamato-Security/hayabusa/tree/main/tools/Sigmac)も提供しています。Hayabusaの検知ルールもSigmaと同様にYML形式であり、カスタマイズ性や拡張性に優れます。稼働中のシステムで実行してライブ調査することも、複数のシステムからログを収集してオフライン調査することも可能です。(※現時点では、リアルタイムアラートや定期的なスキャンには対応していません。) 出力は一つのCSVタイムラインにまとめられ、Excelや[Timeline Explorer](https://ericzimmerman.github.io/#!index.md)で簡単に分析できるようになります。 +## 目次 + +- [Hayabusa について](#hayabusa-について) + - [目次](#目次) + - [主な目的](#主な目的) + - [スレット(脅威)ハンティング](#スレット脅威ハンティング) + - [フォレンジックタイムラインの高速生成](#フォレンジックタイムラインの高速生成) +- [開発について](#開発について) +- [スクリーンショット](#スクリーンショット) + - [起動画面:](#起動画面) + - [ターミナル出力画面:](#ターミナル出力画面) + - [結果サマリ画面:](#結果サマリ画面) + - [Excelでの解析:](#excelでの解析) + - [Timeline Explorerでの解析:](#timeline-explorerでの解析) + - [Criticalアラートのフィルタリングとコンピュータごとのグルーピング:](#criticalアラートのフィルタリングとコンピュータごとのグルーピング) +- [タイムラインのサンプル結果](#タイムラインのサンプル結果) +- [特徴](#特徴) +- [予定されている機能](#予定されている機能) +- [ダウンロード](#ダウンロード) +- [ソースコードからのコンパイル(任意)](#ソースコードからのコンパイル任意) + - [アドバンス: Rustパッケージの更新](#アドバンス-rustパッケージの更新) + - [サンプルevtxファイルでHayabusaをテストする](#サンプルevtxファイルでhayabusaをテストする) +- [使用方法](#使用方法) + - [Windows Terminalで利用する際の注意事項](#windows-terminalで利用する際の注意事項) + - [コマンドラインオプション](#コマンドラインオプション) + - [使用例](#使用例) +- [Hayabusaの出力](#hayabusaの出力) + - [プログレスバー](#プログレスバー) + - [標準出力へのカラー設定](#標準出力へのカラー設定) +- [Hayabusa ルール](#hayabusa-ルール) + - [Hayabusa v.s. 変換されたSigmaルール](#hayabusa-vs-変換されたsigmaルール) + - [検知ルールのチューニング](#検知ルールのチューニング) + - [イベントIDフィルタリング](#イベントidフィルタリング) +- [その他のWindowsイベントログ解析ツールおよび関連プロジェクト](#その他のwindowsイベントログ解析ツールおよび関連プロジェクト) + - [Sigmaをサポートする他の類似ツールとの比較](#sigmaをサポートする他の類似ツールとの比較) +- [コミュニティによるドキュメンテーション](#コミュニティによるドキュメンテーション) + - [英語](#英語) + - [日本語](#日本語) +- [貢献](#貢献) +- [ライセンス](#ライセンス) + ## 主な目的 ### スレット(脅威)ハンティング diff --git a/README.md b/README.md index 392bb79d..7d6346d2 100644 --- a/README.md +++ b/README.md @@ -17,6 +17,47 @@ Hayabusa is a **Windows event log fast forensics timeline generator** and **threat hunting tool** created by the [Yamato Security](https://yamatosecurity.connpass.com/) group in Japan. Hayabusa means ["peregrine falcon"](https://en.wikipedia.org/wiki/Peregrine_falcon") in Japanese and was chosen as peregrine falcons are the fastest animal in the world, great at hunting and highly trainable. It is written in [Rust](https://www.rust-lang.org/) and supports multi-threading in order to be as fast as possible. We have provided a [tool](https://github.com/Yamato-Security/hayabusa/tree/main/tools/sigmac) to convert [sigma](https://github.com/SigmaHQ/sigma) rules into hayabusa rule format. The hayabusa detection rules, like sigma, are also written in YML in order to be as easily customizable and extensible as possible. It can be run either on running systems for live analysis or by gathering logs from multiple systems for offline analysis. (At the moment, it does not support real-time alerting or periodic scans.) The output will be consolidated into a single CSV timeline for easy analysis in Excel or [Timeline Explorer](https://ericzimmerman.github.io/#!index.md). +## Table of Contents + +- [About Hayabusa](#about-hayabusa) + - [Table of Contents](#table-of-contents) + - [Main goals](#main-goals) + - [Threat hunting](#threat-hunting) + - [Fast forensics timeline generation](#fast-forensics-timeline-generation) +- [About the development](#about-the-development) +- [Screenshots](#screenshots) + - [Startup](#startup) + - [Terminal output](#terminal-output) + - [Results summary](#results-summary) + - [Analysis in Excel](#analysis-in-excel) + - [Analysis in Timeline Explorer](#analysis-in-timeline-explorer) + - [Critical alert filtering and computer grouping in Timeline Explorer](#critical-alert-filtering-and-computer-grouping-in-timeline-explorer) +- [Sample timeline results](#sample-timeline-results) +- [Features](#features) +- [Planned Features](#planned-features) +- [Downloads](#downloads) +- [Compiling from source (Optional)](#compiling-from-source-optional) + - [Advanced: Updating Rust packages](#advanced-updating-rust-packages) + - [Testing hayabusa out on sample evtx files](#testing-hayabusa-out-on-sample-evtx-files) +- [Usage](#usage) + - [Caution: Output printed to screen may stop in Windows Terminal](#caution-output-printed-to-screen-may-stop-in-windows-terminal) + - [Command line options](#command-line-options) + - [Usage examples](#usage-examples) +- [Hayabusa output](#hayabusa-output) + - [Progress bar](#progress-bar) + - [Color Output](#color-output) +- [Hayabusa rules](#hayabusa-rules) + - [Hayabusa v.s. converted Sigma rules](#hayabusa-vs-converted-sigma-rules) + - [Detection rule tuning](#detection-rule-tuning) + - [Event ID filtering](#event-id-filtering) +- [Other Windows event log analyzers and related projects](#other-windows-event-log-analyzers-and-related-projects) + - [Comparison to other similar tools that support sigma](#comparison-to-other-similar-tools-that-support-sigma) +- [Community Documentation](#community-documentation) + - [English](#english) + - [Japanese](#japanese) +- [Contribution](#contribution) +- [License](#license) + ## Main goals ### Threat hunting