Commandes de chronologie¶
Commande timeline-logon¶
Cette commande extrait les informations des événements de connexion suivants, normalise les champs et enregistre les résultats dans un fichier CSV :
4624- Connexion réussie4625- Échec de connexion4634- Déconnexion de compte4647- Déconnexion initiée par l'utilisateur4648- Connexion explicite4672- Connexion administrateur
Cela facilite la détection des mouvements latéraux, des attaques par devinette/pulvérisation de mots de passe, de l'élévation de privilèges, etc...
- Entrée : JSONL
- Profil : N'importe lequel sauf
all-field-infoetall-field-info-verbose - Sortie : CSV
Options requises :
-o, --output <CSV-FILE>: le fichier CSV dans lequel enregistrer les résultats.-t, --timeline <JSONL-FILE-OR-DIR>: fichier de chronologie JSONL Hayabusa ou répertoire de fichiers JSONL
Options :
-c, --calculateElapsedTime: calcule le temps écoulé pour les connexions réussies. (par défaut :true)-l, --outputLogoffEvents: émet les événements de déconnexion en tant qu'entrées distinctes. (par défaut :false)-a, --outputAdminLogonEvents: émet les événements de connexion administrateur en tant qu'entrées distinctes. (par défaut :false)-q, --quiet: n'affiche pas le logo. (par défaut :false)
Exemples de la commande timeline-logon¶
Préparez une chronologie JSONL avec Hayabusa :
Enregistrez la chronologie de connexion dans un fichier CSV :
Capture d'écran de timeline-logon¶
Commande timeline-partition-diagnostic¶
Crée une chronologie CSV des événements de diagnostic de partition en analysant les fichiers Windows 10 Microsoft-Windows-Partition%4Diagnostic.evtx et en rapportant des informations sur tous les périphériques connectés et leurs numéros de série de volume, qu'ils soient actuellement présents sur l'appareil ou qu'ils aient existé auparavant.
Ce processus est basé sur l'outil Partition-4DiagnosticParser.
- Entrée : JSONL
- Profil : N'importe lequel
- Sortie : Terminal ou CSV
Options requises :
-t, --timeline <JSONL-FILE-OR-DIR>: fichier de chronologie JSONL Hayabusa ou répertoire de fichiers JSONL
Options :
-o, --output <CSV-FILE>: le fichier CSV dans lequel enregistrer les résultats.-q, --quiet: n'affiche pas le logo. (par défaut :false)
Exemples de la commande timeline-partition-diagnostic¶
Préparez une chronologie JSONL avec Hayabusa :
Créez une chronologie CSV des périphériques connectés :
takajo.exe timeline-partition-diagnostic -t ../hayabusa/timeline.jsonl -o partition-diagnostic-timeline.csv
Commande timeline-suspicious-processes¶
Crée une chronologie CSV des processus suspects.
- Entrée : JSONL
- Profil : N'importe lequel sauf
all-field-infoetall-field-info-verbose - Sortie : Terminal ou CSV
Options requises :
-t, --timeline <JSONL-FILE-OR-DIR>: fichier de chronologie JSONL Hayabusa ou répertoire de fichiers JSONL-o, --output <CSV-FILE>: le fichier CSV dans lequel enregistrer les résultats (par défaut :stdout)
Options :
-l, --level <LEVEL>: spécifie le niveau d'alerte minimum (par défaut :high)-q, --quiet: n'affiche pas le logo. (par défaut :false)
Exemples de la commande timeline-suspicious-processes¶
Préparez une chronologie JSONL avec Hayabusa :
Recherchez les processus ayant un niveau d'alerte de high ou supérieur et affichez les résultats à l'écran :
Recherchez les processus ayant un niveau d'alerte de low ou supérieur et affichez les résultats à l'écran :
Enregistrez les résultats dans un fichier CSV :
Capture d'écran de timeline-suspicious-processes¶
Commande timeline-tasks¶
Cette commande empile les nouvelles tâches planifiées à partir des événements Security 4698 et analyse le contenu XML des tâches.
- Entrée : JSONL
- Profil : N'importe lequel sauf
all-field-infoetall-field-info-verbose - Sortie : Terminal ou fichier CSV
Options requises :
-t, --timeline <JSONL-FILE-OR-DIR>: fichier de chronologie JSONL Hayabusa ou répertoire de fichiers JSONL
Options :
-o, --output <CSV-FILE>: le fichier CSV dans lequel enregistrer les résultats.-q, --quiet: n'affiche pas le logo. (par défaut :false)
Exemples de la commande timeline-tasks¶
Sortie vers le terminal :
Enregistrement au format CSV :