×
新年VIP会员大促,全场一折起!
立即查看优惠!
关闭

APT-Hunter:Windows 事件日志的 Threat Hunting 工具

APT-Hunter 是一款针对 Windows 事件日志的 Threat Hunting 工具,由紫色团队的思维方式制作,可检测隐藏在 Windows 事件日志海洋中的 APT 动作,以减少发现可疑活动的时间。此工具将充分利用收集的 Windows 事件日志,并确保不会错过配置为检测的关键事件。如果您是威胁猎手、事件响应者或法医调查员,我保证您会喜欢使用此工具,为什么?我将在这篇文章中讨论原因,以及它如何让你的生活变得轻松,只是它让我的生活变得轻松。请注意,此工具经过大量测试,但仍是 beta 版本,可能包含错误。

APT-Hunter:Windows 事件日志的 Threat Hunting 工具插图

有关该工具及其在本文中的使用方式的完整信息:introduction-apt-hunter-threat-hunting-tool-using-windows-event-log

如何使用 APT-Hunter

首先要做的是收集日志,如果您没有收集日志,并且使用 powershell 日志收集器很容易自动收集所需的日志,您只需以管理员身份运行 powershell 脚本。

要以 EVTX 格式收集日志,请使用:windows-log-collector-full-v3-EVTX.ps1

要以 CSV 格式收集日志,请使用:windows-log-collector-full-v3-CSV.ps1

对于 Windows 用户,请使用最新版本: 最新版本

APT-Hunter 使用 python3 构建,因此为了使用该工具,您需要安装所需的库(尚不支持 python3.9)。

python3 -m pip install -r requirements.txt

APT-Hunter 易于使用,您只需使用参数 -h 打印帮助以查看所需的选项。

python3 APT-Hunter.py -h

usage: APT-Hunter.py [-h] [-p PATH] [-o OUT]

-h, --help show this help message and exit

-p PATH, --path PATH path to folder containing windows event logs in EVTX format

-o : name of the project which will be used in the generated output sheets

如果要分析单一类型的日志,则其余参数。

示例:

分析 EVTX 文件,可以提供包含日志的目录或单个文件,APT Hunter 会检测日志的类型。

python3 APT-Hunter.py -p /opt/wineventlogs/ -o Project1

使用字符串或正则表达式进行狩猎:

python3 APT-Hunter.py -hunt "psexec" -p /opt/wineventlogs/ -o Project2

python3 APT-Hunter.py -hunt "(psexec|psexesvc)" -p /opt/wineventlogs/ -o Project2

相关文件下载地址

该资源需登录后下载

去登录
温馨提示:本资源来源于互联网,仅供参考学习使用。若该资源侵犯了您的权益,请 联系我们 处理。
APT-Hunter:Windows 事件日志的 Threat Hunting 工具
免费资源
立即下载