Le nouvel outil Chainsaw aide à analyser les journaux d’événements Windows

0

Les intervenants en cas d’incident et les équipes bleues disposent d’un nouvel outil appelé Chainsaw qui accélère la recherche dans les données du journal des événements Windows pour identifier les menaces.

L’outil est conçu pour aider à l’étape de première réponse d’un engagement de sécurité et peut également aider les équipes bleues à trier les entrées pertinentes pour l’enquête.

Conçu pour les intervenants en cas d’incident

Les journaux d’événements Windows sont un registre des activités du système, comprenant des détails sur les applications et les connexions des utilisateurs. Les enquêteurs médico-légaux s’appuient sur ces dossiers, parfois comme principale source de preuves, pour créer une chronologie des événements d’intérêt.

La difficulté avec la vérification de ces enregistrements est qu’il y en a beaucoup, en particulier sur les systèmes avec un niveau de journalisation élevé ; passer au crible les informations pertinentes peut être une tâche fastidieuse.

Rédigé par James D, chasseur de menaces en chef de la division Countercept de F-Secure, Chainsaw est un utilitaire de ligne de commande basé sur Rust qui peut parcourir les journaux d’événements pour mettre en évidence des entrées ou des chaînes suspectes pouvant indiquer une menace.

L’outil utilise la logique de détection des règles Sigma pour trouver rapidement les journaux d’événements pertinents pour l’enquête.

« Chainsaw contient également une logique intégrée pour les cas d’utilisation de détection qui ne conviennent pas aux règles Sigma et fournit une interface simple pour rechercher dans les journaux d’événements par mot clé, modèle d’expression régulière ou pour des identifiants d’événement spécifiques. »

F-Secure affirme que Chainsaw est spécialement conçu pour une analyse rapide des journaux d’événements dans des environnements où une solution de détection et de réponse (EDR) n’était pas présente au moment de la compromission.

Dans de tels cas, les chasseurs de menaces et les intervenants en cas d’incident peuvent utiliser les fonctionnalités de recherche de Chainsaw pour extraire des informations pertinentes sur les activités malveillantes.

Les utilisateurs peuvent utiliser l’outil pour effectuer les opérations suivantes:

  • Rechercher dans les journaux d’événements par ID d’événement, mot-clé et modèles d’expression régulière
  • Extraire et analyser les alertes Windows Defender, F-Secure, Sophos et Kaspersky AV
  • Détecter les journaux d’événements clés en cours d’effacement ou le service de journal d’événements en cours d’arrêt
  • Détecter les utilisateurs créés ou ajoutés à des groupes d’utilisateurs sensibles
  • Utiliser la force brute sur les comptes d’utilisateurs locaux
  • Connexions RDP, connexions réseau, etc.
Chainsaw
Chainsaw cherchant des événements suspects et une activité de mimikatz

En dehors de cela, la détection des règles Sigma fonctionne pour de nombreux ID d’événement Windows, notamment:

Type d’évènementIdentifiant d’évènement
Création de Processus (Sysmon)1
Connexions réseau (Sysmon)3
Chargements d’images (Sysmon)7
Création de fichiers (Sysmon)11
Événements de registre (Sysmon)13
Blocs de script Powershell4104
Création de processus4688
Création de tâche planifiée4698
Création de Service7045

Disponible en tant qu’outil open source, Chainsaw utilise la bibliothèque d’analyseur EVTX et la correspondance logique de détection fournie par la bibliothèque TAU Engine de F-Secure Countercept. Il peut afficher les résultats dans une table ASCII, CSV ou JSON.

Laisser un commentaire