टाइमलाइन कमांड¶
timeline-logon कमांड¶
यह कमांड निम्नलिखित लॉगऑन इवेंट्स से जानकारी निकालता है, फ़ील्ड्स को सामान्यीकृत करता है और परिणामों को एक CSV फ़ाइल में सहेजता है:
4624- सफल लॉगऑन4625- असफल लॉगऑन4634- खाता लॉगऑफ़4647- उपयोगकर्ता द्वारा शुरू किया गया लॉगऑफ़4648- स्पष्ट लॉगऑन4672- व्यवस्थापक लॉगऑन
इससे लेटरल मूवमेंट, पासवर्ड गेसिंग/स्प्रेइंग, प्रिविलेज एस्केलेशन आदि का पता लगाना आसान हो जाता है...
- इनपुट: JSONL
- प्रोफ़ाइल:
all-field-infoऔरall-field-info-verboseके अलावा कोई भी - आउटपुट: CSV
आवश्यक विकल्प:
-o, --output <CSV-FILE>: परिणामों को सहेजने के लिए CSV फ़ाइल।-t, --timeline <JSONL-FILE-OR-DIR>: Hayabusa JSONL टाइमलाइन फ़ाइल या JSONL फ़ाइलों की डायरेक्टरी
विकल्प:
-c, --calculateElapsedTime: सफल लॉगऑन के लिए बीता हुआ समय परिकलित करें। (डिफ़ॉल्ट:true)-l, --outputLogoffEvents: लॉगऑफ़ इवेंट्स को अलग प्रविष्टियों के रूप में आउटपुट करें। (डिफ़ॉल्ट:false)-a, --outputAdminLogonEvents: व्यवस्थापक लॉगऑन इवेंट्स को अलग प्रविष्टियों के रूप में आउटपुट करें। (डिफ़ॉल्ट:false)-q, --quiet: लोगो न दिखाएं। (डिफ़ॉल्ट:false)
timeline-logon कमांड उदाहरण¶
Hayabusa के साथ JSONL टाइमलाइन तैयार करें:
लॉगऑन टाइमलाइन को एक CSV फ़ाइल में सहेजें:
timeline-logon स्क्रीनशॉट¶
timeline-partition-diagnostic कमांड¶
Windows 10 Microsoft-Windows-Partition%4Diagnostic.evtx फ़ाइलों को पार्स करके पार्टीशन डायग्नोस्टिक इवेंट्स की एक CSV टाइमलाइन बनाता है और सभी कनेक्टेड डिवाइसेज़ और उनके वॉल्यूम सीरियल नंबर के बारे में जानकारी रिपोर्ट करता है, जो वर्तमान में डिवाइस पर मौजूद हैं और पहले मौजूद थे दोनों।
यह प्रक्रिया Partition-4DiagnosticParser टूल पर आधारित है।
- इनपुट: JSONL
- प्रोफ़ाइल: कोई भी
- आउटपुट: टर्मिनल या CSV
आवश्यक विकल्प:
-t, --timeline <JSONL-FILE-OR-DIR>: Hayabusa JSONL टाइमलाइन फ़ाइल या JSONL फ़ाइलों की डायरेक्टरी
विकल्प:
-o, --output <CSV-FILE>: परिणामों को सहेजने के लिए CSV फ़ाइल।-q, --quiet: लोगो न दिखाएं। (डिफ़ॉल्ट:false)
timeline-partition-diagnostic कमांड उदाहरण¶
Hayabusa के साथ JSONL टाइमलाइन तैयार करें:
कनेक्टेड डिवाइसेज़ की एक CSV टाइमलाइन बनाएं:
takajo.exe timeline-partition-diagnostic -t ../hayabusa/timeline.jsonl -o partition-diagnostic-timeline.csv
timeline-suspicious-processes कमांड¶
संदिग्ध प्रक्रियाओं की एक CSV टाइमलाइन बनाएं।
- इनपुट: JSONL
- प्रोफ़ाइल:
all-field-infoऔरall-field-info-verboseके अलावा कोई भी - आउटपुट: टर्मिनल या CSV
आवश्यक विकल्प:
-t, --timeline <JSONL-FILE-OR-DIR>: Hayabusa JSONL टाइमलाइन फ़ाइल या JSONL फ़ाइलों की डायरेक्टरी-o, --output <CSV-FILE>: परिणामों को सहेजने के लिए CSV फ़ाइल (डिफ़ॉल्ट:stdout)
विकल्प:
-l, --level <LEVEL>: न्यूनतम अलर्ट स्तर निर्दिष्ट करें (डिफ़ॉल्ट:high)-q, --quiet: लोगो न दिखाएं। (डिफ़ॉल्ट:false)
timeline-suspicious-processes कमांड उदाहरण¶
Hayabusa के साथ JSONL टाइमलाइन तैयार करें:
ऐसी प्रक्रियाओं को खोजें जिनका अलर्ट स्तर high या उससे ऊपर था और परिणामों को स्क्रीन पर आउटपुट करें:
ऐसी प्रक्रियाओं को खोजें जिनका अलर्ट स्तर low या उससे ऊपर था और परिणामों को स्क्रीन पर आउटपुट करें:
परिणामों को एक CSV फ़ाइल में सहेजें:
timeline-suspicious-processes स्क्रीनशॉट¶
timeline-tasks कमांड¶
यह कमांड Security 4698 इवेंट्स से नए शेड्यूल किए गए कार्यों को स्टैक करेगा और XML कार्य सामग्री को पार्स करेगा।
- इनपुट: JSONL
- प्रोफ़ाइल:
all-field-infoऔरall-field-info-verboseके अलावा कोई भी - आउटपुट: टर्मिनल या CSV फ़ाइल
आवश्यक विकल्प:
-t, --timeline <JSONL-FILE-OR-DIR>: Hayabusa JSONL टाइमलाइन फ़ाइल या JSONL फ़ाइलों की डायरेक्टरी
विकल्प:
-o, --output <CSV-FILE>: परिणामों को सहेजने के लिए CSV फ़ाइल।-q, --quiet: लोगो न दिखाएं। (डिफ़ॉल्ट:false)
timeline-tasks कमांड उदाहरण¶
टर्मिनल पर आउटपुट करें:
CSV में सहेजें: