Windows Forensik ist ein kritischer Bestandteil im IT-Security Bereich, insbesondere in der Analyse und Behebung von Sicherheitsvorfällen. Ein leistungsstarkes Tool für die Windows Event Log Analyse welches sich in den letzten Jahren etabliert hat, ist Hayabusa. Das OpenSource Tool für Windows, Linux und macOS bietet eine automatisierte und umfassende Analyse basierend auf aktuellen Sigma Regeln. In diesem Artikel erläutern wir die Bedeutung von Hayabusa und führen Sie durch ein kurzes Tutorial, um den Einstieg zu erleichtern.

Was ist Hayabusa?

Hayabusa ist ein vielseitiges forensisches Tool zur schnellen Analyse großer Mengen an Windows-Ereignisprotokollen (evtx Dateien in /Windows/System32/winevet/logs). Mit einer automatisierten Analyse spart es Zeit und ermöglicht es, sich auf kritische Bereiche zu konzentrieren.

Installation und Ausführung

Das in Rust geschriebene Hayabusa Projekt bietet auf seiner GitHub Release Seite fertige Binaries für alle Betriebssysteme. Danach kann es direkt über die Kommandozeile gestartet werden (chmod +x hayabusa unter Linux und macOS nicht vergessen). Als erstes sollten die Sigma Regeln aktualisiert werden:

hayabusa update-rules

Zeitlinien Analyse und Suche nach Vorfällen

Mit einer Standardanalyse von Hayabusa können wir uns einen schnellen Überblick über Vorfälle in den Windows Event Logs verschaffen. Als Ausgabeformat können wir zwischen CSV, JSON, XML und anderen Formaten wählen. Der Einfachheitshalber setzen wir in diesem Beispiel auf CSV

hayabusa -d 'Pfad/zu/den/Eventlogs' -o hayabusa-ausgabe.csv

Als Ausgabe erhalten wir in der Konsole eine Zusammenfassung der gefundenen Vorfälle. Darunter sind auch häufig einige False-Positives. Die Details über jeden gefundenen Vorfall finden wir in der CSV Datei. Diese können wir uns auch mit weiterer Software, z.B. dem Timeline Explorer noch einfacher anschauen.

Fazit

Hayabusa ist ein unverzichtbares Werkzeug für Windows-Forensiker. Mit seiner einfachen Handhabung und der Fähigkeit, relevante Daten schnell zu analysieren, ist es eine wertvolle Ergänzung in jedem Incident-Response-Toolkit. Sie wollen mehr über Hayabusa wissen? In unseren Forensik Kursen lernen Sie Hayabusa in Ihre Workflows zu integrieren und auch komplexerer Analysen vorzunehmen.