Список команд¶

Команди автоматизації¶

automagic: автоматично виконує якомога більше команд та виводить результати у нову теку

extract-scriptblocks: вилучає та повторно збирає журнали блоків сценаріїв PowerShell EID 4104

list-domains: створює список унікальних доменів для використання з vt-domain-lookup
list-hashes: створює список хешів процесів для використання з vt-hash-lookup
list-ip-addresses: створює список унікальних цільових та/або вихідних IP-адрес для використання з vt-ip-lookup
list-undetected-evtx: створює список невиявлених файлів evtx
list-unused-rules: створює список невикористаних правил виявлення

split-csv-timeline: розділяє велику часову шкалу CSV на менші на основі імені комп'ютера
split-json-timeline: розділяє велику часову шкалу JSONL на менші на основі імені комп'ютера

stack-cmdlines: групує виконані командні рядки
stack-computers: групує комп'ютери
stack-dns: групує DNS-запити та відповіді
stack-ip-addresses: групує цільові IP-адреси (поле TgtIP) або вихідні IP-адреси (поле SrcIP)
stack-logons: групує входи в систему за цільовим користувачем, цільовим комп'ютером, вихідною IP-адресою та вихідним комп'ютером
stack-processes: групує виконані процеси
stack-services: групує імена та шляхи служб з подій System 7040 та Security 4697
stack-tasks: групує нові заплановані завдання з подій Security 4698 та розбирає вміст завдання XML
stack-users: групує цільових користувачів (поле TgtUser) або вихідних користувачів (поле SrcUser)

timeline-logon: створює часову шкалу CSV подій входу в систему
timeline-partition-diagnostic: створює часову шкалу CSV подій діагностики розділів
timeline-suspicious-processes: створює часову шкалу CSV підозрілих процесів
timeline-tasks: створює часову шкалу CSV запланованих завдань

ttp-summary: підсумовує тактики та техніки, виявлені на кожному комп'ютері
ttp-visualize: вилучає TTP та створює файл JSON для візуалізації в MITRE ATT&CK Navigator
ttp-visualize-sigma: вилучає TTP з правил Sigma та створює файл JSON для візуалізації в MITRE ATT&CK Navigator