O Event2Timeline é uma ferramenta desenvolvida em D3js que realiza a leitura de arquivos de eventos do Windows (EVTX) e (EVT exportados para CSV) e de forma gráfica que auxilia no entendimento dos eventos.

Em alguns caso de ataques ou ate mesmo em um servidor Honeypot é possível obter dados interessantes sobre o comportamento das interfaces.

Projeto : github.com/certsocietegenerale/event2timeline

01 - Passo

Realize o download do event2timeline.

  Linux
git clone https://github.com/certsocietegenerale/event2timeline

02 - Passo

Entre no diretório do event2timeline e liste os arquivos.

  Linux
cd event2timeline/

ls -l

03 - Passo

Certifique-se que seu sistema possui todos os pré-requisitos para utilizar o event2timeline, caso não possua a instalação dos pacotes necessários serão realizadas.

  Linux
pip install -r requirements.txt

04 - Passo

Crie um diretório Windows e copie o arquivo de evento (ex. Security.evtx) para o diretório.

mkdir Windows

cd Windows

ls -l

Eventos do Windows : C:\Windows\System32\winevt\Logs.

05 - Passo

Volte ao diretório principal e execute o event2timeline.

python event2timeline.py -e -f Windows/Security.evtx

06 - Passo

Navegue ate o diretório principal event2timeline/timeline e abra o arquivo timeline-sessions.html para visualizar o resultado.


👍 Se este artigo te ajudou compartilhe!



  Autor

Marcos Henrique

 São Paulo/SP



  Logs

© 2024 - 100SECURITY

Contato