冰凌汇编

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索
查看: 73|回复: 0
收起左侧

[原创工具] APT-Hunter窗口事件日志寻找威胁的工具

[复制链接]
ollydbg 发表于 2022-1-26 22:52:59
APT-Hunter是一款针对windows事件日志的威胁狩猎工具,从紫色团队心态的角度出发,为隐藏在windows事件日志海洋中的APT移动提供检测。

APT-Hunter窗口事件日志寻找威胁的工具 - ollydbg_冰凌汇编


这将帮助您减少发现可疑活动的时间,该工具将充分利用收集的windows事件日志,并确保不会错过配置为检测的关键事件。

APT-Hunter的目标受众是威胁猎人、事件响应专业人员或法医调查人员。


APT-Hunter威胁搜索工具的特点

  • 提供带有时间草图格式的输出,以便直接上传并开始分析时间线
  • 根据严重性对事件进行分类,使过滤变得容易,并专注于重要的事情
  • 使用日志收集自动化脚本收集所有必需的日志,以节省导出重要日志所需的时间
  • 收集和分析(Sysmon、安全、系统、Powershell、Powershell _ Operational、ScheduledTask、WinRM、终端服务、Windows_Defender)
  • 该规则在许多真实事件中进行了测试,并提供了大量信息,减少了检测初始证据的时间
  • 由于python3,您可以在任何系统上运行,您可以对受影响的系统进行实时分析,或者使日志脱机并在任何系统上进行分析
  • 使用Regex进行日志解析和提取
  • 这个工具建立在互联网上发布的研究和我所做的测试的基础上,以便在一个工具中收集大多数有用的用例
  • 包括60多个用例以及安全和终端服务日志统计数据,更多将很快添加。告别记忆用例和SIEM搜索
  • 现在,您不需要设置SIEM实例、日志收集器解决方案来帮助您解析和提取所需的数据,也不必继续查看包含数百万个事件的工作表
  • 记录有助于发现异常的统计数据
  • 易于添加新的检测规则,因为字段清晰,语法易于使用
  • 支持导出为EVTX和CSV的windows事件日志
  • 分析师可以将新的恶意可执行文件名称直接添加到列表中
  • 将输出作为excel表,将每个日志作为工作表


使用APT-猎人威胁狩猎工具

[Python] 纯文本查看 复制代码
# python3 APT-Hunter.py -h
 
usage: APT-Hunter.py [-h] [-p PATH] [-o OUT] [-t {csv,evtx}]
-h, --help show this help message and exit
-p PATH, --path PATH path to folder containing windows event logs generated by the APT-Hunter-Log-Collector.ps1
-o OUT, --out OUT output file name
-t {csv,evtx}, --type {csv,evtx} csv ( logs from get-eventlog or windows event log GUI or logs from Get-WinEvent ) , evtx ( EVTX extension windows event log )
--security SECURITY Path to Security Logs
--system SYSTEM Path to System Logs
--scheduledtask SCHEDULEDTASK Path to Scheduled Tasks Logs
--defender DEFENDER Path to Defender Logs
--powershell POWERSHELL Path to Powershell Logs
--powershellop POWERSHELLOP Path to Powershell Operational Logs
--terminal TERMINAL Path to TerminalServices LocalSessionManager Logs
--winrm WINRM Path to Winrm Logs
--sysmon SYSMON Path to Sysmon Logs
-p : provide path to directory containing the extracted using the powershell log collectors ( windows-log-collector-full-v3-CSV.ps1 , windows-log-collector-full-v3-EVTX.ps1 ) .
-o : name of the project which will be used in the generated output sheets
-t : the log type if its CSV or EVTX


你可以在这里下载
Linux:
APT-Hunter窗口事件日志寻找威胁的工具 - ollydbg_冰凌汇编 APT-Hunter-nix.zip (44.9 KB, 下载次数: 0)
Windows:
APT-Hunter窗口事件日志寻找威胁的工具 - ollydbg_冰凌汇编 APT-Hunter_Windows.zip (27.75 MB, 下载次数: 0)
Source:
APT-Hunter窗口事件日志寻找威胁的工具 - ollydbg_冰凌汇编 APT-Hunter-1.0-beta.zip (44.99 KB, 下载次数: 0)

冰凌汇编免责声明
以上内容均来自网友转发或原创,如存在侵权请发送到站方邮件9003554@qq.com处理。
您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

QQ|小黑屋|站点统计|Archiver|小黑屋|RSS|冰凌汇编 ( 滇ICP备2022002049号 滇公网安备 53032102000029号)|网站地图

GMT+8, 2022-9-25 05:53 , Processed in 0.136248 second(s), 8 queries , Redis On.

冰凌汇编 - 建立于2021年12月20日

Powered by Discuz! © 2001-2022 Comsenz Inc.

快速回复 返回顶部 返回列表