Перейти до змісту

Список команд

Команди автоматизації

  • automagic: автоматично виконує якомога більше команд та виводить результати у нову теку

Команди вилучення

  • extract-scriptblocks: вилучає та повторно збирає журнали блоків сценаріїв PowerShell EID 4104

Команди HTML

  • html-report: створює статичні зведені звіти HTML
  • html-server: створює динамічний вебсервер для перегляду зведених звітів HTML

Команди списків

  • list-domains: створює список унікальних доменів для використання з vt-domain-lookup
  • list-hashes: створює список хешів процесів для використання з vt-hash-lookup
  • list-ip-addresses: створює список унікальних цільових та/або вихідних IP-адрес для використання з vt-ip-lookup
  • list-undetected-evtx: створює список невиявлених файлів evtx
  • list-unused-rules: створює список невикористаних правил виявлення

Команди розділення

  • split-csv-timeline: розділяє велику часову шкалу CSV на менші на основі імені комп'ютера
  • split-json-timeline: розділяє велику часову шкалу JSONL на менші на основі імені комп'ютера

Команди групування

  • stack-cmdlines: групує виконані командні рядки
  • stack-computers: групує комп'ютери
  • stack-dns: групує DNS-запити та відповіді
  • stack-ip-addresses: групує цільові IP-адреси (поле TgtIP) або вихідні IP-адреси (поле SrcIP)
  • stack-logons: групує входи в систему за цільовим користувачем, цільовим комп'ютером, вихідною IP-адресою та вихідним комп'ютером
  • stack-processes: групує виконані процеси
  • stack-services: групує імена та шляхи служб з подій System 7040 та Security 4697
  • stack-tasks: групує нові заплановані завдання з подій Security 4698 та розбирає вміст завдання XML
  • stack-users: групує цільових користувачів (поле TgtUser) або вихідних користувачів (поле SrcUser)

Команди Sysmon

  • sysmon-process-tree: виводить дерево процесів певного процесу

Команди часової шкали

  • timeline-logon: створює часову шкалу CSV подій входу в систему
  • timeline-partition-diagnostic: створює часову шкалу CSV подій діагностики розділів
  • timeline-suspicious-processes: створює часову шкалу CSV підозрілих процесів
  • timeline-tasks: створює часову шкалу CSV запланованих завдань

Команди TTP

  • ttp-summary: підсумовує тактики та техніки, виявлені на кожному комп'ютері
  • ttp-visualize: вилучає TTP та створює файл JSON для візуалізації в MITRE ATT&CK Navigator
  • ttp-visualize-sigma: вилучає TTP з правил Sigma та створює файл JSON для візуалізації в MITRE ATT&CK Navigator

Команди VirusTotal

  • vt-domain-lookup: шукає список доменів у VirusTotal та звітує про шкідливі
  • vt-hash-lookup: шукає список хешів у VirusTotal та звітує про шкідливі
  • vt-ip-lookup: шукає список IP-адрес у VirusTotal та звітує про шкідливі