コマンド一覧
Automationコマンド
automagic: 多くのコマンドを自動的に実行し、結果を新しいフォルダーに出力する
extract-scriptblocks: PowerShell EID 4104 スクリプトブロックログからPowerShellスクリプトを抽出して再構築する
HTMLコマンド
html-report: ルールと検出されたコンピュータのHTMLサマリレポートを作成するhtml-server: HTMLサマリレポートを確認するために、動的にウェブサーバを立ち上げる
Listコマンド
list-domains: vt-domain-lookupコマンドで使用する、重複のないドメインのリストを作成するlist-hashes: vt-hash-lookup で使用するプロセスのハッシュ値のリストを作成するlist-ip-addresses: vt-ip-lookupコマンドで使用する、重複のない送信元/送信先のIPリストを作成するlist-undetected-evtx: 検知されなかったevtxファイルのリストを作成するlist-unused-rules: 検知されなかったルールのリストを作成する
Splitコマンド
split-csv-timeline: コンピューター名に基づき、大きなCSVタイムラインを小さなCSVタイムラインに分割するsplit-json-timeline: コンピューター名に基づき、大きなJSONLタイムラインを小さなJSONLタイムラインに分割する
Stackコマンド
stack-cmdlines: 実行されたコマンドラインを集計するstack-dns: DNSクエリとレスポンスを集計するstack-ip-addresses: ターゲットIP(TgtIPフィールド) またはソースIP (SrcIPフィールド)を集計するstack-logons: ユーザー名、コンピューター名、送信元IPアドレス、送信元コンピューター名など、項目ごとの上位ログオンを出力するstack-processes: 実行されたプロセスを集計するstack-services: 作成されたサービス名とプロセスを集計するstack-tasks: 作成されたスケジュールタスクを集計するstack-users: ターゲットユーザー(TgtUserフィールド) またはソースユーザー (SrcUserフィールド)を集計する
Sysmonコマンド
sysmon-process-tree: プロセスツリーを出力する
Timelineコマンド
timeline-logon: ログオンイベントのCSVタイムラインを作成するtimeline-suspicious-processes: 不審なプロセスのCSVタイムラインを作成するtimeline-partition-diagnostic: partition diagnosticイベントのCSVタイムラインを作成するtimeline-tasks: スケジュールタスクのCSVタイムラインを作成する
TTP Commands
ttp-summary: コンピュータ毎に検知されたTTPsの要約を出力するttp-visualize: TTPs を抽出し、MITRE ATT&CK Navigator で視覚化するためのJSONファイルを作成するttp-visualize-sigma: TTPs をSigmaルールから抽出し、MITRE ATT&CK Navigator で視覚化するためのJSONファイルを作成する
VirusTotalコマンド
vt-domain-lookup: VirusTotalでドメインのリストを検索し、悪意のあるドメインをレポートするvt-hash-lookup: VirusTotalでハッシュのリストを検索し、悪意のあるハッシュ値をレポートするvt-ip-lookup: VirusTotalでIPアドレスのリストを検索し、悪意のあるIPアドレスをレポートする