Windows IR Opensource Tool - Chainsaw
New Chainsaw tool helps IR teams analyze Windows event logs
Incident responders and blue teams have a new tool called Chainsaw that speeds up searching through Windows event log records to identify threats.
www.bleepingcomputer.com
Windows 사고 분석을 도와주는 오픈소스 도구가 최근 뉴스를 통해 알 수 있었다.
자세히 살펴보지는 않았지만, 보안 분석에 활용되는 주요 이벤트에 대한 자동 분류와 가시성을 Low 데이터로 부터 제공해 주는것으로 보인다.
EDR이 없거나 Low 데이터 분석시 유용할 것으로 보인다.
그리고 시그마? 룰을 활용할 수 있는데 이부분은 기존에 사용하지 않았었던 탐지 방식이라 확인해보면 유용할 것으로 보인다.
Github 위치는 다음과 같다.
https://github.com/countercept/chainsaw
GitHub - countercept/chainsaw: Rapidly Search and Hunt through Windows Event Logs
Rapidly Search and Hunt through Windows Event Logs - GitHub - countercept/chainsaw: Rapidly Search and Hunt through Windows Event Logs
github.com
시그마
https://github.com/SigmaHQ/sigma
GitHub - SigmaHQ/sigma: Generic Signature Format for SIEM Systems
Generic Signature Format for SIEM Systems. Contribute to SigmaHQ/sigma development by creating an account on GitHub.
github.com