Hayabusa: velocidad, precisión y hunting en los registros de Windows
Cuando un incidente se desarrolla en un entorno Windows, los logs cuentan la historia: quién ejecutó qué, desde dónde, y cuándo.
El problema es que esa historia suele estar oculta entre millones de eventos, y cada segundo perdido en analizarla puede ampliar el alcance del ataque.
Ahí entra en juego Hayabusa, una herramienta open-source creada por Yamato Security para procesar, correlacionar y visualizar timelines forenses a partir de los event logs de Windows.
Su nombre —“halcón peregrino” en japonés— no es casual: está diseñada para ser rápida, precisa y letal en manos de un analista DFIR.
🎯 ¿Qué es Hayabusa?
Hayabusa genera líneas de tiempo (timelines) detalladas a partir de archivos .evtx, aplicando detecciones basadas en reglas Sigma para resaltar comportamientos sospechosos.
Puede procesar colecciones masivas de eventos de Seguridad, Sistema, PowerShell o Sysmon, y producir resultados en CSV, JSON o HTML, listos para correlación o reporting.
📸 Figura 1 – Ejemplo de CSV generado por Hayabusa con eventos correlacionados

Cada entrada incluye marca temporal, host, proceso, canal, nivel de severidad y contexto técnico, como líneas de comando o DLLs cargadas, facilitando el análisis de secuencias o TTPs adversarias.
🧠 Arquitectura y filosofía
Desarrollado en Go, Hayabusa está optimizado para rendimiento multihilo y ejecución directa sobre sistemas de análisis o triage.
Su objetivo: transformar miles de eventos crudos en una línea temporal clara y accionable, integrable en flujos de respuesta forense o hunting proactivo.
📸 Figura 2 – Interfaz CLI de Hayabusa y comandos disponibles

Entre sus capacidades más potentes destacan:
- csv-timeline / json-timeline: generación de timelines completos.
- update-rules: sincronización de reglas Sigma actualizadas.
- log-summary y eid-metrics: métricas de eventos y fuentes.
- pivot-keywords-list: análisis de términos pivotantes y correlaciones.
⚙️ Preparación: actualización de reglas y entorno
Antes de ejecutar un análisis, Hayabusa permite actualizar su repositorio de reglas Sigma y Yamato mediante un simple comando:
.\hayabusa-3.6.0-win-x64.exe update-rules
📸 Figura 3 – Ejecución de actualización de reglas (update-rules)

Esto asegura que el motor de detección esté alineado con las últimas tácticas y técnicas del MITRE ATT&CK, una práctica esencial para CSIRTs y SOCs que buscan mantener cobertura actualizada.
🔬 Análisis en acción: generación de timeline forense
Con las reglas al día, el siguiente paso es generar un timeline en CSV a partir de uno o más archivos .evtx.
En este ejemplo, el analista ejecuta:
.\hayabusa-3.6.0-win-x64.exe csv-timeline -f "C:\CuriosidadesDeHackers\hayabusa-3.6.0-win-x64\ejemplos.evtx" -U -o ejemplos.csv
📸 Figura 4 – Ejecución de Hayabusa con timeline y selección de reglas

El asistente solicita el conjunto de detecciones a cargar (Core, Core+, All alerts, All rules).
Seleccionando la opción 5 – All event and alert rules, Hayabusa aplicará más de 4.700 reglas Sigma y nativas para análisis exhaustivo.
📸 Figura 5 – Inclusión de reglas extendidas y Sysmon

En este punto, el motor carga también reglas Sysmon específicas, experimentales o “noisy”, adaptando la sensibilidad del escaneo a las necesidades del triage.
🚀 Resultados: detección rápida y resumen de hallazgos
El análisis comienza, procesando eventos y aplicando correlaciones sobre los logs.
El resultado es una salida clara, con estadísticas de reglas activas, tipos de detección y autores de las firmas Sigma.
📸 Figura 6 – Resultados de escaneo y resumen de detecciones

En este ejemplo:
- 2 eventos fueron relevantes sobre un total de 2 procesados.
- Las reglas activadas incluyen firmas Sigma como
Proc ExecyPotentially Suspicious Rundll32 Activity.
📸 Figura 7 – Alertas clasificadas por nivel y archivo CSV generado

El reporte muestra:
- Nivel Medium:
Potentially Suspicious Rundll32 Activity - Nivel Informational:
Proc Exec(2) - Archivo CSV guardado con resultados (
ejemplos.csv)
Este formato permite importar los hallazgos a herramientas como Timesketch, ELK, Excel o Power BI, para análisis temporal o visualización avanzada.
🧩 Ventajas para DFIR / CSIRT
Hayabusa se ha convertido en una herramienta de referencia para analistas forenses, por su capacidad de combinar velocidad, precisión y adaptabilidad.
✅ Por qué suma en DFIR/CSIRT:
- Velocidad y escala: procesa grandes volúmenes de logs sin fricción.
- Detección basada en reglas: aprovecha patrones Sigma para priorizar eventos sospechosos.
- Resultados accionables: exporta en formatos cómodos para triage, correlación y reporting.
- Versatilidad total: encaja tanto en laboratorios como en operaciones reales.
- Curva de adopción baja: se integra rápidamente en tus playbooks existentes.
🧰 Tips rápidos de uso
- 🔒 Activa y ajusta la auditoría de Windows antes de necesitarla: sin buenos eventos, no hay buena caza.
- 🧩 Etiqueta tus hallazgos con MITRE ATT&CK para priorizar y comunicar hallazgos.
- ⚙️ Integra Hayabusa en tu pipeline: colección → parsing → timeline → revisión → comunicación → remediación.
- 🧠 Crea y mantén tus propias reglas Sigma para amenazas específicas de tu entorno.
⚔️ Conclusión
En el ecosistema DFIR moderno, Hayabusa representa el punto intermedio perfecto entre la potencia de herramientas Sigma y la velocidad del triage automatizado.
Su enfoque en procesar primero, contextualizar después lo hace ideal para responder con precisión ante ataques complejos o eventos masivos.
“Del caos de los logs al orden de la línea temporal: Hayabusa no solo detecta,
sino que da sentido al tiempo.”
✍️ A
