
У специалистов по реагированию на инциденты есть новый инструмент под названием Chainsaw, который ускоряет поиск в записях журнала событий Windows для выявления угроз.
Инструмент предназначен для оказания помощи на этапе первого реагирования при взаимодействии с безопасностью, а также может помочь отсортировать записи, имеющие отношение к расследованию.
Создан для специалистов по реагированию на инциденты
Журналы событий Windows - это реестр действий системы, содержащий сведения о приложениях и логинах пользователей.
Сложность проверки этих записей заключается в том, что их много, особенно в системах с высоким уровнем ведения журнала; поиск нужной информации может и может быть трудоемкой задачей.
Созданная Джеймсом Д., ведущим специалистом по поиску угроз в подразделении Countercept F-Secure, Chainsaw - это утилита командной строки на основе Rust, которая может просматривать журналы событий и выделять подозрительные записи или строки, которые могут указывать на угрозу.
Инструмент использует логику обнаружения Sigma rule для быстрого поиска журналов событий, имеющих отношение к расследованию.
«Chainsaw также содержит встроенную логику для обнаружения вариантов использования, которые не подходят для правил Sigma, и предоставляет простой интерфейс для поиска в журналах событий по ключевому слову, шаблону регулярного выражения или по конкретным идентификаторам событий».
F-Secure заявляет, что Chainsaw специально разработан для быстрого анализа журналов событий в средах, где решение для обнаружения и реагирования (EDR) отсутствовало во время взлома.
В таких случаях специалисты, реагирующие на инциденты могут использовать функции поиска Chainsaw для извлечения из журналов Windows информации, относящейся к вредоносной деятельности.
Пользователи могут использовать этот инструмент для следующих действий:
Поиск в журналах событий по идентификатору события, ключевому слову и шаблонам регулярных выражений
Извлечение и анализ предупреждений Защитника Windows, F-Secure, Sophos и Kaspersky AV.
Обнаружение очистки журналов ключевых событий или остановки службы журнала событий
Обнаружение пользователей, которые создаются или добавляются в конфиденциальные группы пользователей
Брутфорс локальных учетных записей пользователей
Логины RDP, сетевые логины и т. д.
Chainsaw, доступный как инструмент с открытым исходным кодом, использует библиотеку синтаксического анализатора EVTX и логику обнаружения, обеспечиваемую библиотекой TAU Engine от F-Secure Countercept. Он может выводить результаты в таблице ASCII, CSV или JSON.