Grandalf

Bardzo aktywny
Członek Załogi
Moderator
Dołączył
26 Maj 2015
Posty
19144
Reakcje/Polubienia
55677
Chainsaw zapewnia potężną funkcję „pierwszej reakcji”, która umożliwia szybką identyfikację zagrożeń w dziennikach zdarzeń systemu Windows. Oferuje ogólną i szybką metodę przeszukiwania dzienników zdarzeń w poszukiwaniu słów kluczowych oraz identyfikowania zagrożeń za pomocą wbudowanej logiki wykrywania i obsługi reguł wykrywania Sigma.

Firma F-Secure twierdzi, że Chainsaw jest specjalnie dostosowana do szybkiej analizy dzienników zdarzeń w środowiskach, w których rozwiązanie wykrywania i reagowania (EDR) nie było dostępne w momencie naruszenia. W takich przypadkach łowcy zagrożeń i osoby odpowiadające na incydenty mogą korzystać z funkcji wyszukiwania Chainsaw, aby wyodrębnić z dzienników systemu Windows informacje dotyczące złośliwej aktywności.

Użytkownicy mogą używać tego narzędzia do wykonywania następujących czynności:
  • Przeszukuj dzienniki zdarzeń według identyfikatora zdarzenia, słów kluczowych i wzorców wyrażeń regularnych
  • Wyodrębnij i analizuj alerty Windows Defender, F-Secure, Sophos i Kaspersky AV
  • Wykryj czyszczenie kluczowych dzienników zdarzeń lub zatrzymanie usługi dziennika zdarzeń
  • Wykryj użytkowników tworzonych lub dodawanych do wrażliwych grup użytkowników
  • Brute Force lokalnych kont użytkowników
  • Loginy RDP, loginy sieciowe itp.


ChainsawSearch_Hunt.jpg

Zaloguj lub Zarejestruj się aby zobaczyć!

Zaloguj lub Zarejestruj się aby zobaczyć!


Pobieranie:
Zaloguj lub Zarejestruj się aby zobaczyć!
 

Camel1965

Bardzo aktywny
Zasłużony
Dołączył
8 Wrzesień 2010
Posty
37271
Reakcje/Polubienia
33674

Chainsaw 2.5.0​

February 17, 2023
  • Bring in upstream fix for evtx files that contain the size_t type (thanks to upstream for such a quick turn around)
  • Add in a dump command so that people stop bodging the functionality via search
  • Minor fixes and tweaks
Zaloguj lub Zarejestruj się aby zobaczyć!
 

Camel1965

Bardzo aktywny
Zasłużony
Dołączył
8 Wrzesień 2010
Posty
37271
Reakcje/Polubienia
33674

Chainsaw 2.6.0​

April 3, 2023
  • A new feature for creating execution timelines using shimcache artifacts with optional amcache enrichment
  • Added functionality to parse Windows registry hive files
  • Fixed missing check make sure that path is not a file when using csv to prevent time wasting
  • Upgraded to the new Tau engine that has full support for floats
Zaloguj lub Zarejestruj się aby zobaczyć!
 

Camel1965

Bardzo aktywny
Zasłużony
Dołączył
8 Wrzesień 2010
Posty
37271
Reakcje/Polubienia
33674

Chainsaw 2.7.0

This release contains the following changes of note:
  • Add cache to disk support for JSONL output
  • Add file path to CSV output
  • Fix for newline output issue in tabluar output
  • Rule loading warnings should highlight output as a warning
  • Tweaks and improvements to mappings and rules
Zaloguj lub Zarejestruj się aby zobaczyć!
 

Camel1965

Bardzo aktywny
Zasłużony
Dołączył
8 Wrzesień 2010
Posty
37271
Reakcje/Polubienia
33674

Chainsaw 2.7.1

This release contains the following changes of note:
  • Fix mutually exclusive command line options -c can only be used with --jsonl
  • Error if caching file cannot be created
  • Make thread count is respected everywhere
  • Better handling of sigma rules (warn on unknown modifiers, and support base64 conversions)
  • additional optimisations to jsonl output
Zaloguj lub Zarejestruj się aby zobaczyć!
 
Do góry