Новый инструмент Chainsaw помогает командам IR анализировать журналы событий Windows

14
Защита нулевого дня Windows MSHTML обойдена по мере появления новой информации

У специалистов по реагированию на инциденты и синих команд есть новый инструмент под названием Chainsaw, который ускоряет поиск в записях журнала событий Windows для выявления угроз.

Инструмент предназначен для оказания помощи на этапе первого реагирования при взаимодействии с безопасностью, а также может помочь синим командам отсортировать записи, имеющие отношение к расследованию.

Создан для специалистов по реагированию на инциденты

Журналы событий Windows — это реестр действий системы, содержащий сведения о приложениях и логинах пользователей. Судебные следователи полагаются на эти записи, иногда в качестве основного источника доказательств, для создания графика интересующих событий.

Сложность проверки этих записей в том, что их много, особенно в системах с высоким уровнем ведения журнала; поиск нужной информации может и может быть трудоемкой задачей.

Созданная Джеймсом Д., ведущим специалистом по поиску угроз в подразделении F-Secure Countercept, Chainsaw — это утилита командной строки на основе Rust, которая может просматривать журналы событий, чтобы выделить подозрительные записи или строки, которые могут указывать на угрозу.

Инструмент использует логику обнаружения правил сигмы для быстрого поиска журналов событий, имеющих отношение к расследованию.

«Chainsaw также содержит встроенную логику для обнаружения вариантов использования, которые не подходят для правил Sigma, и предоставляет простой интерфейс для поиска в журналах событий по ключевому слову, шаблону регулярного выражения или по конкретным идентификаторам событий».

F-Secure заявляет, что Chainsaw специально разработана для быстрого анализа журналов событий в средах, где решение для обнаружения и реагирования (EDR) отсутствовало во время взлома.

В таких случаях охотники за угрозами и реагирующие на инциденты могут использовать функции поиска Chainsaw для извлечения из журналов Windows информации, относящейся к вредоносной деятельности.

Пользователи могут использовать этот инструмент для следующих действий:

  • Поиск в журналах событий по идентификатору события, ключевому слову и шаблонам регулярных выражений
  • Извлечение и анализ предупреждений Защитника Windows, F-Secure, Sophos и Kaspersky AV.
  • Обнаружение очистки журналов ключевых событий или остановки службы журнала событий
  • Обнаружение пользователей, которые создаются или добавляются в конфиденциальные группы пользователей
  • Брутфорс локальных учетных записей пользователей
  • Логины RDP, сетевые логины и т. Д.

ОСТАВЬТЕ ОТВЕТ

Пожалуйста, введите ваш комментарий!
пожалуйста, введите ваше имя здесь