EVTX 分析工具 evtx-hunter
项目地址:https://github.com/NVISOsecurity/evtx-hunterevtx-hunter 有助于快速发现 Windows 事件查看器 (EVTX) 文件中有趣的安全相关活动,可快速处理大量事件,适合在收集大量事件的调查和狩猎活动中使用。
关于 evtx-hunter
evtx-hunter 是一个 Python 工具,可生成在 EVTX 文件中观察到的有趣活动的 Web 报告。该工具附带一些预定义的规则,例如:
[*]第一次查询某个DNS域;
[*]第一次启动某个进程;
[*]新的服务设施;
[*]用户帐户锁定;
[*]......
可以轻松添加新用例:
[*]rules/first_occurence.json:监控第一次发生符合规则的事情,例如安装新的 (恶意) 服务或使用受损的用户帐户。
[*]rules/interesting_events.json:监控每次发生符合规则的事情,例如清除审计日志或安装新服务。
为什么需要 evtx-hunter
我们开发了 evtx-hunter 以在事件响应活动期间快速处理存储在 EVTX 转储文件中的大量事件。我们喜欢 Event Log Explorer 和 Evtx Explorer 之类的工具,但发现它们最适合深入研究特定的 EVTX 文件,快速发现大量 EVTX 事件中的有趣活动是我们所缺少的,这就是开发和发布 evtx-hunter 的原因。
依赖
evtx-hunter 仅在 Windows 上运行,因为它依赖于工具中包含的 EVTX Parsing 库。需要 Python (在 python 3.9 中测试,但任何版本 >=python 3.0 都可以正常工作)。
安装
pip install -r requirements.txt
使用
python evtx_hunter.py <evtx_folder>
处理完 EVTX 文件后,将打印命令行上的链接以在浏览器中查看生成的报告 (通常为 http://127.0.0.1:8050/)。
路线图
根据在需要调查 EVTX 文件的事件中使用它的经验,我们计划以几种不同的方式不断改进此工具:
[*]添加新规则以发现 EVTX 文件中的有趣活动;
[*]改进信息在结果报告中的呈现方式;
[*]使报告具有交互性 (例如实时过滤和搜索);
扩展:EVTX Parsing https://github.com/omerbenamram/EVTX
页:
[1]