Модуль PowerShell для поиска угроз с помощью журналов событий Windows.
Функционал модуля крайне обширен: от выявления подозрительной активности учетных записей до определения подозрительных служб или того же mimikatz.
В репозитории также есть различные примеры журналов как раз для оттачивания навыков реагирования и расследования. Экспорт, как полагается, возможен во все основные форматы файлов.
https://github.com/sans-blue-team/DeepBlueCLI
Отправить комментарий