Para encontrar toda esta información hay que ir a ver los registros de eventos del sistema, en ellos se guarda toda la actividad del sistema. Pero los eventos registrados son muchos y aunque windows los tiene bien clasificados para no perderse, aun así, son muchos, y siempre se nos puede pasar algo por delante y no verlo.
Para ayudarnos a hacer búsquedas en estos registros y presentarlos de una forma más amigable, tenemos a CHAINSAW.
Chainsaw es una herramienta (aquí su github) que nos ayuda a hacer búsquedas a través de palabras clave y mediante la compatibilidad con las reglas de detección Sigma.
Con los parámetros --rules
y --mapping
, se puede especificar un directorio que contenga un conjunto de reglas de detección SIGMA y Chainsaw cargará, convertirá y ejecutará automáticamente estas reglas en los registros de eventos proporcionados. El archivo de mapeo le dice a chainsaw con qué ID de evento ejecutar las reglas de detección y qué campos son relevantes.
Chainsaw también puede identificar lo siguiente:
- Revisa las alertas de los antivirus (Windows Defender, F-Secure, Sophos y Kaspersky AV) para identificar malware o scripts maliciosos.
- Detecta si se eliminan datos de los registros de eventos o si el sistema deja de registrarlos (se para el servicio).
- Revisa si se crearon usuarios o se agregaron a grupos de usuarios sensibles.
- Detecta fuerza bruta de las cuentas de usuarios locales.
- Revisa inicios de sesión de RDP.