Epagneul

Epagneul是一款针对Windows事件日志的可视化分析工具,可以帮助广大研究人员以可视化图形的方式查看、分析和审计Windows事件日志。

工具体系架构

该工具的 整体运行机制和体系架构如下图所示:
Epagneul:针对Windows事件日志的可视化分析工具 - 图1

工具组件

  • Vue.js:该工具所使用的Web框架
  • Cytoscape.js:该工具所使用的图形可视化和分析库
  • d3:用于显示事件时间轴
  • neo4j:后端数据库
  • evtx:解析Windows XML事件日志格式

    工具要求

    该工具的运行需要在本地设备上安装并配置好Docker和Docker-compose。

    工具下载

    广大研究人员可以使用下列命令将该项目源码克隆至本地:
    1. git clone https://github.com/jurelou/epagneul.git

    工具安装

    接下来,切换到项目根目录下,然后运行下列命令进行项目构建:
    1. make

    离线部署

    我们可以使用下列命令,在一台联网设备上构建Epagneul的离线版本:
    1. make release
    上述命令将会在项目目录中创建一个名为“release”的目录,其中将包含可以直接使用的Docker镜像。我们可以把它拷贝到设备上,然后运行下列命令:
    1. make load make
    上述命令将安装下列工具组件:
  1. Epagneul Web UI(8080端口)
  2. Epagneul后端(8080端口)
  3. Neo4j(7474端口)

    参考资料

    https://adsecurity.org/wp-content/uploads/2017/04/2017-BSidesCharm-DetectingtheElusive-ActiveDirectoryThreatHunting-Final.pdf
    https://github.com/JPCERTCC/LogonTracer
    https://github.com/ahmedkhlief/APT-Hunter