Un nouvel outil Chainsaw aide les équipes IR à analyser les journaux d'événements Windows

  • Principal
  • Nouvelles
  • Un nouvel outil Chainsaw aide les équipes IR à analyser les journaux d'événements Windows

Les intervenants en cas d'incident et les équipes bleues disposent d'un nouvel outil appelé Chainsaw qui accélère la recherche des journaux d'événements Windows pour identifier les menaces.

L'outil est conçu pour aider à la première phase de réponse d'un compromis de sécurité et peut également aider les Blue Teams à évaluer les éléments pertinents pour l'enquête.

Conçu pour les premiers intervenants

Les journaux d'événements Windows sont un journal de l'activité du système, y compris des détails sur les applications et les connexions des utilisateurs. Les enquêteurs médico-légaux s'appuient sur ces documents, parfois comme principale source de preuves, pour créer une chronologie des événements d'intérêt.

La difficulté avec la vérification de ces journaux est qu'il y en a tellement, en particulier sur les systèmes avec un niveau élevé de journalisation ; Passer au crible les informations pertinentes peut et peut être une tâche fastidieuse.

Écrit par Jacques D , chasseur de menaces en chef de la division Countercept de F-Secure, tronçonneuse est un utilitaire de ligne de commande basé sur Rust qui peut examiner les journaux d'événements à la recherche d'entrées suspectes ou de chaînes pouvant indiquer une menace.

L'outil utilise le règle sigma logique de détection pour trouver rapidement les journaux d'événements pertinents pour enquête.

'Chainsaw contient également une logique intégrée pour les cas d'utilisation de détection qui ne conviennent pas aux règles Sigma et fournit une interface simple pour rechercher dans les journaux d'événements un mot clé, un modèle d'expression régulière ou un ID d'événement spécifique.'

F-Secure affirme que Chainsaw est spécialement conçu pour une analyse rapide des journaux d'événements dans des environnements où une solution de détection et de réponse (EDR) n'existait pas au moment de la compromission.

Dans de tels cas, les chasseurs de menaces et les intervenants en cas d'incident peuvent utiliser les capacités de recherche de Chainsaw pour extraire les informations relatives aux activités malveillantes des journaux Windows.

Les utilisateurs peuvent utiliser l'outil pour effectuer les opérations suivantes :

  • Rechercher dans les journaux d'événements l'ID d'événement, le mot clé et le modèle d'expression régulière
  • Extrayez et analysez les alertes de Windows Defender, F-Secure, Sophos et Kaspersky AV
  • Détecter les journaux d'événements clés supprimés ou le service de journal des événements arrêté
  • Détecter les utilisateurs qui sont créés ou ajoutés à des groupes d'utilisateurs sensibles
  • Comptes d'utilisateurs locaux Brute Force
  • Connexion RDP, connexion réseau, etc.
Recherche à la tronçonneuse et recherche d'informations pertinentes dans les journaux d'événements Windows

Tronçonneuse à la poursuite d'événements suspects et à la recherche d'activités de mimikatz

En plus de cela, la détection des règles Sigma fonctionne pour un certain nombre d'ID d'événements Windows, notamment les suivants :

Type d'événement ID d'événement
Création de processus (Sysmon) 1
Connexions réseau (Sysmon) 3
Images téléchargées (Sysmon) sept
Création de fichiers (Symon) Onze
Journaliser les événements (Sysmon) 13
Blocs de script PowerShell 4104
Création de processus 4688
Création d'activités planifiées 4698
Création de prestations 7045

disponible comme outil open source , Chainsaw utilise le Analyseur EVTX bibliothèque logique de détection et de correspondance fournie par F-Secure Countercept Moteur TAU Bibliothèque. Vous pouvez générer les résultats dans des tables ASCII, CSV ou JSON.

Qu'est-ce que tu penses?