Новый инструмент Chainsaw помогает командам IR анализировать журналы событий Windows

49
Новая атака DFSCoerce NTLM Relay позволяет захватить домен Windows

Последнее обновление 07.01.2023 — QGames

У специалистов по реагированию на инциденты и синих команд есть новый инструмент под названием Chainsaw, который ускоряет поиск в записях журнала событий Windows для выявления угроз.

Инструмент предназначен для оказания помощи на этапе первого реагирования при взаимодействии с безопасностью, а также может помочь синим командам отсортировать записи, имеющие отношение к расследованию.

Создан для специалистов по реагированию на инциденты

Журналы событий Windows — это реестр действий системы, содержащий сведения о приложениях и логинах пользователей. Судебные следователи полагаются на эти записи, иногда в качестве основного источника доказательств, для создания графика интересующих событий.

Сложность проверки этих записей в том, что их много, особенно в системах с высоким уровнем ведения журнала; поиск нужной информации может и может быть трудоемкой задачей.

Созданная Джеймсом Д., ведущим специалистом по поиску угроз в подразделении F-Secure Countercept, Chainsaw — это утилита командной строки на основе Rust, которая может просматривать журналы событий, чтобы выделить подозрительные записи или строки, которые могут указывать на угрозу.

По теме:  Вайтран из Skyrim воссоздан в Halo Infinite Forge

Инструмент использует логику обнаружения правил сигмы для быстрого поиска журналов событий, имеющих отношение к расследованию.

«Chainsaw также содержит встроенную логику для обнаружения вариантов использования, которые не подходят для правил Sigma, и предоставляет простой интерфейс для поиска в журналах событий по ключевому слову, шаблону регулярного выражения или по конкретным идентификаторам событий».

F-Secure заявляет, что Chainsaw специально разработана для быстрого анализа журналов событий в средах, где решение для обнаружения и реагирования (EDR) отсутствовало во время взлома.

В таких случаях охотники за угрозами и реагирующие на инциденты могут использовать функции поиска Chainsaw для извлечения из журналов Windows информации, относящейся к вредоносной деятельности.

Пользователи могут использовать этот инструмент для следующих действий:

  • Поиск в журналах событий по идентификатору события, ключевому слову и шаблонам регулярных выражений
  • Извлечение и анализ предупреждений Защитника Windows, F-Secure, Sophos и Kaspersky AV.
  • Обнаружение очистки журналов ключевых событий или остановки службы журнала событий
  • Обнаружение пользователей, которые создаются или добавляются в конфиденциальные группы пользователей
  • Брутфорс локальных учетных записей пользователей
  • Логины RDP, сетевые логины и т. Д.
Просмотров: 0

ЭТО МОЖЕТ БЫТЬ ИНТЕРЕСНОЕЩЕ ОТ АВТОРА