Giunto ormai alla versione 2.0, vi segnalo APTHunter V2.0, un’interessante tool di analisi per gli Event Logs di Windows.
Un contributo interessante sia nel threat hunting , incident response o in casi di forensic investigation, che non sostituisce un’analisi manuale approfondita, ma che può velocizzare alcune operazioni, sia di detection che di log parsing ed estrazione usando Regex.
I risultati generati dallo script vengono così catalogati:
> Project1_Report.xlsx : include tutti gli eventi rilevati.
> Project1_TimeSketch.csv : utilie per elaborare una timeline dell’attacco.
> Project1_Logon_Events.csv : tutti gli eventi “parsati” con i campi: Date, User , SourceIP , Logon Process , WorkstationName , LogonType , DeviceName , OriginalLog
Il tool include anche due script in PowerShell per automatizzare la raccolta dei log, sia in formato EVTX sia in formato CSV
- windows-log-collector-full-v3-EVTX.ps1
- windows-log-collector-full-v3-CSV.ps1
JoinTheQuest!
Download al link https://github.com/ahmedkhlief/APT-Hunter
