Windows EVTX示例[200个EVTX示例]:
这是与特定攻击和利用后技术相关联的Windows事件样本的容器。 可能对以下有用:
基于EVTX解析测试您的检测脚本
使用事件日志进行DFIR培训和威胁搜寻
使用Windows和Sysmon事件日志设计检测用例
如果您是Redteamer,请避免/绕过嘈杂的技巧
注意:映射已完成到ATT&CK技术级别(不是过程)。
映射到MITER策略的EVTX内容的详细信息可以在找到,统计摘要:
使用攻击导航器涵盖的TTP概述:
Winlogbeat批量读取
其中包含一个PowerShell脚本,该脚本可以使用循环,解析和重播evtx文件。 这对于将日志重播到ELK堆栈或本地文件中很有用。 默认情况下,此脚本将按照winlogbeat_example.yml文件中的配置将日志输出到。\ winlogbeat \ events.json,您可
