Sigma Rules

extracting-windows-event-logs-artifacts vous aide à extraire, parser et analyser les journaux d’événements Windows (EVTX) pour la criminalistique numérique, la réponse à incident et la chasse aux menaces. Il prend en charge une analyse structurée des ouvertures de session, des créations de processus, des installations de services, des tâches planifiées, des changements de privilèges et de l’effacement des journaux avec Chainsaw, Hayabusa et EvtxECmd.

La skill de détection des techniques d’évasion dans les logs endpoint aide à repérer l’évasion des défenses dans les journaux d’endpoint Windows, notamment la suppression de logs, le timestomping, l’injection de processus et la désactivation d’outils de sécurité. Utilisez-la pour la threat hunting, la détection, l’ingénierie de détection et le triage d’incidents avec Sysmon, Windows Security ou des télémétries EDR.

detecting-living-off-the-land-with-lolbas aide à détecter les abus de LOLBAS avec Sysmon et les journaux d’événements Windows, en s’appuyant sur la télémétrie des processus, le contexte parent-enfant, des règles Sigma et un guide pratique pour le triage, la chasse et la rédaction de règles. Il prend en charge detecting-living-off-the-land-with-lolbas pour la modélisation des menaces et les workflows analyste autour de certutil, regsvr32, mshta et rundll32.