У специалистов по реагированию на инциденты есть новый инструмент под названием Chainsaw, который ускоряет поиск в записях журнала событий Windows для выявления угроз.
Инструмент предназначен для оказания помощи на этапе первого реагирования при взаимодействии с безопасностью, а также может помочь отсортировать записи, имеющие отношение к расследованию.
Сложность проверки этих записей заключается в том, что их много, особенно в системах с высоким уровнем ведения журнала, поиск нужной информации может и может быть трудоемкой задачей.
Созданная Джеймсом Д., ведущим специалистом по поиску угроз в подразделении F-Secure Countercept, Chainsaw - это утилита командной строки на основе Rust, которая может просматривать журналы событий, чтобы выделить подозрительные записи или строки, которые могут указывать на угрозу.