APT-Hunter: herramienta de búsqueda de amenazas a través del registro de eventos de Windows

APT-Hunter es una herramienta de búsqueda de amenazas para registros de eventos de Windows creada desde la perspectiva de la mentalidad del equipo púrpura para proporcionar detección de movimientos APT ocultos en el mar de registros de eventos de Windows.

Esto le ayudará a reducir el tiempo para descubrir actividades sospechosas y la herramienta hará un buen uso de los registros de eventos de Windows recopilados y se asegurará de no perder eventos críticos configurados para ser detectados.

El público objetivo de APT-Hunter son los cazadores de amenazas, los profesionales de respuesta a incidentes o los investigadores forenses.

Características de la herramienta de búsqueda de amenazas APT-Hunter

• Proporcione salida con formato de boceto de tiempo para cargarlo directamente y comenzar a analizar la línea de tiempo
• Severidad basada en categorías de eventos para facilitar el filtrado y centrarse en lo importante
• Tener un script de automatización de recopilación de registros para recopilar todos los registros necesarios para ahorrar el tiempo necesario para exportar registros importantes
• Recopile y analice (Sysmon, Security, System, Powershell, Powershell_Operational, ScheduledTask, WinRM, TerminalServices, Windows_Defender)
• Esta regla se probó en muchos incidentes reales y proporcionó una gran información que redujo el tiempo para detectar la evidencia inicial.
• Puede ejecutarse en cualquier sistema gracias a python3, puede hacer análisis en vivo en el sistema afectado o desconectar los registros y analizarlos en cualquier sistema
• Análisis y extracción de registros usando Regex
• Esta herramienta construida en base a investigaciones publicadas en Internet y pruebas realizadas por mí para recopilar la mayoría de los casos de uso útiles en una sola herramienta.
• Incluye más de 60 casos de uso junto con estadísticas de registros de servicios de terminal y seguridad, y pronto se agregarán más. Diga adiós a la memorización de casos de uso y búsquedas SIEM
• Ahora no necesita configurar una instancia de SIEM, soluciones de recopilación de registros para ayudarlo a analizar y extraer los datos requeridos, ni tiene que seguir mirando la hoja con millones de eventos.
• Registre estadísticas que le ayudarán a descubrir la anomalía.
• Fácil de agregar una nueva regla de detección, ya que los campos son claros y la sintaxis es fácil de usar
• Admite registros de eventos de Windows exportados como EVTX y CSV
• El analista puede agregar nuevos nombres de ejecutables maliciosos directamente a la lista
• Proporcione salida como hoja de Excel con cada registro como hoja de trabajo

Uso de la herramienta de búsqueda de amenazas APT-Hunter

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19

# python3 APT-Hunter.py -h   usage: APT-Hunter.py [-h] [-p PATH] [-o OUT] [-t {csv,evtx}] -h, --help show this help message and exit -p PATH, --path PATH path to folder containing windows event logs generated by the APT-Hunter-Log-Collector.ps1 -o OUT, --out OUT output file name -t {csv,evtx}, --type {csv,evtx} csv ( logs from get-eventlog or windows event log GUI or logs from Get-WinEvent ) , evtx ( EVTX extension windows event log ) --security SECURITY Path to Security Logs --system SYSTEM Path to System Logs --scheduledtask SCHEDULEDTASK Path to Scheduled Tasks Logs --defender DEFENDER Path to Defender Logs --powershell POWERSHELL Path to Powershell Logs --powershellop POWERSHELLOP Path to Powershell Operational Logs --terminal TERMINAL Path to TerminalServices LocalSessionManager Logs --winrm WINRM Path to Winrm Logs --sysmon SYSMON Path to Sysmon Logs -p : provide path to directory containing the extracted using the powershell log collectors ( windows-log-collector-full-v3-CSV.ps1 , windows-log-collector-full-v3-EVTX.ps1 ) . -o : name of the project which will be used in the generated output sheets -t : the log type if its CSV or EVTX

Puede descargar APT-Hunter aquí:

Linux: APT-Hunter-nix.zip
Windows: APT-Hunter_Windows.zip
Fuente: v1.0-beta.zip

O lea más aquí .

Fuente: https://www.darknet.org.uk/

No olvides Compartir...  

Siguenos en twitter: @disoftin - @fredyavila