Commandes Stack¶
Commande stack-cmdlines¶
Cette commande empile les lignes de commande exécutées en extrayant les informations des événements Sysmon 1 et Security 4688.
- Entrée : JSONL
- Profil : N'importe lequel sauf
all-field-infoetall-field-info-verbose - Sortie : Terminal ou fichier CSV
Options requises :
-t, --timeline <JSONL-FILE-OR-DIR>: fichier de chronologie JSONL Hayabusa ou répertoire de fichiers JSONL
Options :
-l, --level: spécifie le niveau d'alerte minimum (par défaut :informational)-y, --ignoreSysmon: exclut les événements Sysmon 1 (par défaut :false)-e, --ignoreSecurity: exclut les événements Security 4688 (par défaut :false)-o, --output <CSV-FILE>: le fichier CSV dans lequel enregistrer les résultats (par défaut :stdout)-q, --quiet: ne pas afficher le logo. (par défaut :false)-s, --skipProgressBar: ne pas afficher la barre de progression (par défaut :false)
Exemples de la commande stack-cmdlines¶
Sortie vers le terminal :
Enregistrement dans un CSV :
Commande stack-computers¶
Cette commande empile les noms d'hôtes des ordinateurs selon le champ Computer.
- Entrée : JSONL
- Profil : N'importe lequel sauf
all-field-infoetall-field-info-verbose - Sortie : Terminal ou fichier CSV
Options requises :
-t, --timeline <JSONL-FILE-OR-DIR>: fichier de chronologie JSONL Hayabusa ou répertoire de fichiers JSONL
Options :
-l, --level: spécifie le niveau d'alerte minimum (par défaut :informational)-c, --sourceComputers: empile les ordinateurs source au lieu des ordinateurs cible (par défaut : false)-o, --output <CSV-FILE>: le fichier CSV dans lequel enregistrer les résultats (par défaut :stdout)-q, --quiet: ne pas afficher le logo. (par défaut :false)-s, --skipProgressBar: ne pas afficher la barre de progression (par défaut :false)
Exemples de la commande stack-computers¶
Sortie vers le terminal :
Enregistrement dans un CSV :
Commande stack-dns¶
Cette commande empile les requêtes et réponses DNS issues des événements Sysmon 22.
- Entrée : JSONL
- Profil : N'importe lequel sauf
all-field-infoetall-field-info-verbose - Sortie : Terminal ou fichier CSV
Options requises :
-t, --timeline <JSONL-FILE-OR-DIR>: fichier de chronologie JSONL Hayabusa ou répertoire de fichiers JSONL
Options :
-l, --level: spécifie le niveau d'alerte minimum (par défaut :informational)-o, --output <CSV-FILE>: le fichier CSV dans lequel enregistrer les résultats (par défaut :stdout)-q, --quiet: ne pas afficher le logo. (par défaut :false)-s, --skipProgressBar: ne pas afficher la barre de progression (par défaut :false)
Exemples de la commande stack-dns¶
Sortie vers le terminal :
Enregistrement dans un CSV :
Commande stack-ip-addresses¶
Cette commande empile les adresses IP cible (champ TgtIP) ou les adresses IP source (champ SrcIP).
- Entrée : JSONL
- Profil : N'importe lequel sauf
all-field-infoetall-field-info-verbose - Sortie : Terminal ou fichier CSV
Options requises :
-t, --timeline <JSONL-FILE-OR-DIR>: fichier de chronologie JSONL Hayabusa ou répertoire de fichiers JSONL
Options :
-l, --level: spécifie le niveau d'alerte minimum (par défaut :informational)-a, --targetIpAddresses: empile les adresses IP cible au lieu des adresses IP source (par défaut :false)-o, --output <CSV-FILE>: le fichier CSV dans lequel enregistrer les résultats (par défaut :stdout)-q, --quiet: ne pas afficher le logo. (par défaut :false)-s, --skipProgressBar: ne pas afficher la barre de progression (par défaut :false)
Exemples de la commande stack-ip-addresses¶
Sortie vers le terminal :
Enregistrement dans un CSV :
Commande stack-logons¶
Crée une liste de connexions selon Target User, Target Computer, Logon Type, Source IP Address, Source Computer.
Par défaut, les résultats sont filtrés lorsque l'adresse IP source est une adresse IP locale.
- Entrée : JSONL
- Profil : N'importe lequel sauf
all-field-infoetall-field-info-verbose - Sortie : Terminal ou fichier CSV
Options requises :
-t, --timeline <JSONL-FILE-OR-DIR>: fichier de chronologie JSONL Hayabusa ou répertoire de fichiers JSONL
Options :
-l, --localSrcIpAddresses: inclut les résultats lorsque l'adresse IP source est locale.-o, --output <CSV-FILE>: le fichier CSV dans lequel enregistrer les résultats (par défaut :stdout)-q, --quiet: ne pas afficher le logo. (par défaut :false)-s, --skipProgressBar: ne pas afficher la barre de progression (par défaut :false)
Exemples de la commande stack-logons¶
Exécution avec les paramètres par défaut :
Inclusion des connexions locales :
Commande stack-processes¶
Cette commande empile les processus exécutés issus des événements Sysmon 1 et Security 4688.
- Entrée : JSONL
- Profil : N'importe lequel sauf
all-field-infoetall-field-info-verbose - Sortie : Terminal ou fichier CSV
Options requises :
-t, --timeline <JSONL-FILE-OR-DIR>: fichier de chronologie JSONL Hayabusa ou répertoire de fichiers JSONL
Options :
-l, --level: spécifie le niveau d'alerte minimum (par défaut :low)-y, --ignoreSysmon: exclut les événements Sysmon 1 (par défaut :false)-e, --ignoreSecurity: exclut les événements Security 4688 (par défaut :false)-o, --output <CSV-FILE>: le fichier CSV dans lequel enregistrer les résultats (par défaut :stdout)-q, --quiet: ne pas afficher le logo. (par défaut :false)-s, --skipProgressBar: ne pas afficher la barre de progression (par défaut :false)
Exemples de la commande stack-processes¶
Sortie vers le terminal :
Enregistrement dans un CSV :
Commande stack-services¶
Cette commande empile les noms et chemins des services issus des événements System 7040 et Security 4697.
- Entrée : JSONL
- Profil : N'importe lequel sauf
all-field-infoetall-field-info-verbose - Sortie : Terminal ou fichier CSV
Options requises :
-t, --timeline <JSONL-FILE-OR-DIR>: fichier de chronologie JSONL Hayabusa ou répertoire de fichiers JSONL
Options :
-l, --level: spécifie le niveau d'alerte minimum (par défaut :informational)-y, --ignoreSystem: exclut les événements System 7040 (par défaut :false)-e, --ignoreSecurity: exclut les événements Security 4697 (par défaut :false)-o, --output <CSV-FILE>: le fichier CSV dans lequel enregistrer les résultats (par défaut :stdout)-q, --quiet: ne pas afficher le logo. (par défaut :false)-s, --skipProgressBar: ne pas afficher la barre de progression (par défaut :false)
Exemples de la commande stack-services¶
Sortie vers le terminal :
Enregistrement dans un CSV :
Commande stack-tasks¶
Cette commande empile les nouvelles tâches planifiées issues des événements Security 4698 et analyse le contenu XML des tâches.
- Entrée : JSONL
- Profil : N'importe lequel sauf
all-field-infoetall-field-info-verbose - Sortie : Terminal ou fichier CSV
Options requises :
-t, --timeline <JSONL-FILE-OR-DIR>: fichier de chronologie JSONL Hayabusa ou répertoire de fichiers JSONL
Options :
-l, --level: spécifie le niveau d'alerte minimum (par défaut :informational)-o, --output <CSV-FILE>: le fichier CSV dans lequel enregistrer les résultats (par défaut :stdout)-q, --quiet: ne pas afficher le logo. (par défaut :false)-s, --skipProgressBar: ne pas afficher la barre de progression (par défaut :false)
Exemples de la commande stack-tasks¶
Sortie vers le terminal :
Enregistrement dans un CSV :
Commande stack-users¶
Cette commande empile les utilisateurs cible (champ TgtUser (par défaut)) ou les utilisateurs source (champ SrcUser) dans tout événement qui contient ces champs et affiche également les informations d'alerte.
- Entrée : JSONL
- Profil : N'importe lequel sauf
all-field-infoetall-field-info-verbose - Sortie : Terminal ou fichier CSV
Options requises :
-t, --timeline <JSONL-FILE-OR-DIR>: fichier de chronologie JSONL Hayabusa ou répertoire de fichiers JSONL
Options :
-s, --sourceUsers: empile les utilisateurs source au lieu des utilisateurs cible (par défaut : false)-c, --filterComputerAccounts: filtre les comptes d'ordinateur (par défaut : true)-f, --filterSystemAccounts: filtre les comptes système (par défaut : true)-l, --level: spécifie le niveau d'alerte minimum (par défaut :informational)-o, --output <CSV-FILE>: le fichier CSV dans lequel enregistrer les résultats (par défaut :stdout)-q, --quiet: ne pas afficher le logo. (par défaut :false)-s, --skipProgressBar: ne pas afficher la barre de progression (par défaut :false)
Exemples de la commande stack-users¶
Sortie vers le terminal :
Enregistrement dans un CSV :