关于Epagneul
Epagneul是一款针对Windows事件日志的可视化分析工具,可以帮助广大研究人员以可视化图形的方式查看、分析和审计Windows事件日志。
工具体系架构
该工具的 整体运行机制和体系架构如下图所示:
工具组件
Vue.js:该工具所使用的Web框架
Cytoscape.js:该工具所使用的图形可视化和分析库
d3:用于显示事件时间轴
neo4j:后端数据库
evtx:解析Windows XML事件日志格式
工具要求
该工具的运行需要在本地设备上安装并配置好Docker和Docker-compose。
工具下载
广大研究人员可以使用下列命令将该项目源码克隆至本地:
git clone https://github.com/jurelou/epagneul.git工具安装
接下来,切换到项目根目录下,然后运行下列命令进行项目构建:
make离线部署
我们可以使用下列命令,在一台联网设备上构建Epagneul的离线版本:
make releasemake loadmake
上述命令将安装下列工具组件:
1、Epagneul Web UI(8080端口)
2、Epagneul后端(8080端口)
3、Neo4j(7474端口)
项目地址
https://github.com/jurelou/epagneul
参考资料
https://adsecurity.org/wp-content/uploads/2017/04/2017-BSidesCharm-DetectingtheElusive-ActiveDirectoryThreatHunting-Final.pdf
https://github.com/JPCERTCC/LogonTracer
https://github.com/ahmedkhlief/APT-Hunter
原文始发于微信公众号(FreeBuf):Epagneul:一款针对Windows事件日志的可视化分析工具
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论