أوامر الخط الزمني¶
أمر timeline-logon¶
يستخرج هذا الأمر المعلومات من أحداث تسجيل الدخول التالية، ويوحّد الحقول ويحفظ النتائج في ملف CSV:
4624- تسجيل دخول ناجح4625- تسجيل دخول فاشل4634- تسجيل خروج من الحساب4647- تسجيل خروج بمبادرة من المستخدم4648- تسجيل دخول صريح4672- تسجيل دخول المسؤول
يسهّل هذا اكتشاف الحركة الجانبية، وتخمين/رش كلمات المرور، وتصعيد الامتيازات، وما إلى ذلك...
- المدخلات: JSONL
- الملف التعريفي: أي ملف باستثناء
all-field-infoوall-field-info-verbose - المخرجات: CSV
الخيارات المطلوبة:
-o, --output <CSV-FILE>: ملف CSV لحفظ النتائج فيه.-t, --timeline <JSONL-FILE-OR-DIR>: ملف الخط الزمني JSONL الخاص بـ Hayabusa أو دليل ملفات JSONL
الخيارات:
-c, --calculateElapsedTime: حساب الوقت المنقضي لعمليات تسجيل الدخول الناجحة. (الافتراضي:true)-l, --outputLogoffEvents: إخراج أحداث تسجيل الخروج كإدخالات منفصلة. (الافتراضي:false)-a, --outputAdminLogonEvents: إخراج أحداث تسجيل دخول المسؤول كإدخالات منفصلة. (الافتراضي:false)-q, --quiet: عدم عرض الشعار. (الافتراضي:false)
أمثلة على أمر timeline-logon¶
تجهيز خط زمني JSONL باستخدام Hayabusa:
حفظ الخط الزمني لتسجيل الدخول في ملف CSV:
لقطة شاشة timeline-logon¶
أمر timeline-partition-diagnostic¶
ينشئ خطًا زمنيًا بصيغة CSV لأحداث تشخيص الأقسام عن طريق تحليل ملفات Microsoft-Windows-Partition%4Diagnostic.evtx الخاصة بنظام Windows 10، ويبلّغ عن معلومات حول جميع الأجهزة المتصلة وأرقامها التسلسلية للوحدات التخزينية (Volume Serial Numbers)، سواء الموجودة حاليًا على الجهاز أو التي كانت موجودة سابقًا.
تستند هذه العملية إلى الأداة Partition-4DiagnosticParser.
- المدخلات: JSONL
- الملف التعريفي: أي
- المخرجات: الطرفية أو CSV
الخيارات المطلوبة:
-t, --timeline <JSONL-FILE-OR-DIR>: ملف الخط الزمني JSONL الخاص بـ Hayabusa أو دليل ملفات JSONL
الخيارات:
-o, --output <CSV-FILE>: ملف CSV لحفظ النتائج فيه.-q, --quiet: عدم عرض الشعار. (الافتراضي:false)
أمثلة على أمر timeline-partition-diagnostic¶
تجهيز خط زمني JSONL باستخدام Hayabusa:
إنشاء خط زمني بصيغة CSV للأجهزة المتصلة:
takajo.exe timeline-partition-diagnostic -t ../hayabusa/timeline.jsonl -o partition-diagnostic-timeline.csv
أمر timeline-suspicious-processes¶
إنشاء خط زمني بصيغة CSV للعمليات المشبوهة.
- المدخلات: JSONL
- الملف التعريفي: أي ملف باستثناء
all-field-infoوall-field-info-verbose - المخرجات: الطرفية أو CSV
الخيارات المطلوبة:
-t, --timeline <JSONL-FILE-OR-DIR>: ملف الخط الزمني JSONL الخاص بـ Hayabusa أو دليل ملفات JSONL-o, --output <CSV-FILE>: ملف CSV لحفظ النتائج فيه (الافتراضي:stdout)
الخيارات:
-l, --level <LEVEL>: تحديد الحد الأدنى لمستوى التنبيه (الافتراضي:high)-q, --quiet: عدم عرض الشعار. (الافتراضي:false)
أمثلة على أمر timeline-suspicious-processes¶
تجهيز خط زمني JSONL باستخدام Hayabusa:
البحث عن العمليات التي كان مستوى تنبيهها high أو أعلى وإخراج النتائج إلى الشاشة:
البحث عن العمليات التي كان مستوى تنبيهها low أو أعلى وإخراج النتائج إلى الشاشة:
حفظ النتائج في ملف CSV:
لقطة شاشة timeline-suspicious-processes¶
أمر timeline-tasks¶
سيقوم هذا الأمر بتجميع المهام المجدولة الجديدة من أحداث Security 4698 وتحليل محتوى المهمة بصيغة XML.
- المدخلات: JSONL
- الملف التعريفي: أي ملف باستثناء
all-field-infoوall-field-info-verbose - المخرجات: الطرفية أو ملف CSV
الخيارات المطلوبة:
-t, --timeline <JSONL-FILE-OR-DIR>: ملف الخط الزمني JSONL الخاص بـ Hayabusa أو دليل ملفات JSONL
الخيارات:
-o, --output <CSV-FILE>: ملف CSV لحفظ النتائج فيه.-q, --quiet: عدم عرض الشعار. (الافتراضي:false)
أمثلة على أمر timeline-tasks¶
الإخراج إلى الطرفية:
الحفظ بصيغة CSV: