文章总结： 本文介绍了一款名为EvtxAnalyser的Windows事件日志分析工具，该工具基于开源yml规则库开发，可识别事件日志中的威胁行为。工具运行于x64系统，提供两项功能：对整个事件日志进行威胁识别并生成txt文档，以及对单个事件ID进行检索生成json格式结果。该工具仅限网安民警使用，旨在加速日志审查过程，但其有效性受限于规则库的质量。 综合评分： 65 文章分类： 安全工具,威胁情报,应急响应,漏洞分析,日志分析

【有限下载】：识别windows事件日志中的威胁行为

原创

MicroPest

MicroPest

2022年10月23日 23:41 安徽

中国共产党第二十次全国代表大会于2022年10月22日在北京胜利闭幕，23日二十届一中全会召开。

    借着这喜庆的日子，分享个工具给大家。本程序仅限于网安民警使用，如果你不在网安名册中，请不要找我了。

    工具写于2020年、2021年间，当时碰到的问题场景是：面对着windows的事件日志如何筛出其中的威胁内容，成为了一个课题，后利用开源的yml规则库写成了这个工具。自从，有了识别出事件日志中的威胁行为，加快了对日志的审查，很实用，但也限于此规则库的“威力”，仅是一种参考。

程序运行于x64位系统下，不支持x86。

由几部分构成：

1）程序：EvtxAnalyser.exe、EvtxAnalyser.dll；

2）反跟踪：AntiTrace.dll；

3）规则库：rules；

程序界面如下示：

目前，有两项功能：

一是对整个事件日志的识别，利用规则挖掘出可能存在的威胁，形成txt文档；

二是对单个事件ID号进行检索，形成json，提供阅读。

如果你是网安民警，可以加我微信号：D80999348 索要。