zavetsec/ZavetSec-EVTXHunter

GitHub: zavetsec/ZavetSec-EVTXHunter

ZavetSec-EVTXHunter：纯PowerShell实现的Windows事件日志威胁猎人，助力安全分析。

Stars: 1 | Forks: 0

# ZavetSec-EVTXHunter ### 高级 Windows 事件日志威胁猎人 **Sigma 子集检测 · 关联引擎 · 实体风险评分 · 自包含的 HTML 报告。** **纯 PowerShell. 无依赖。空气间隙就绪。** [![版本](https://img.shields.io/badge/Version-1.3.0-ff6b00)](CHANGELOG.md) [![PowerShell](https://img.shields.io/badge/PowerShell-5.1%2B-5391FE)](#requirements) [![平台](https://img.shields.io/badge/Platform-Windows-0078D6)](#requirements) [![依赖项](https://img.shields.io/badge/Dependencies-none-00ff88)](#why-evtxhunter) [![MITRE ATT&CK](https://img.shields.io/badge/Mapped_to-MITRE_ATT%26CK-c01818)](#detection-coverage)

将其指向一个 `.evtx` 文件夹 — 或在主机上实时运行。几分钟后，您将获得一份自包含的 HTML 报告：按严重程度排序的发现，重建多事件攻击链，每个用户 / IP / 主机 / 进程的风险评分，所有内容都映射到 MITRE ATT&CK。无需代理，无需服务器，无需互联网，无需信任的二进制文件。它可以在 PowerShell 5.1 存在的任何地方运行 — 也就是自 Server 2012 R2 以来的每个 Windows 主机。它是为在隔离主机上承受时间压力的分析师而构建的，他们需要立即从日志中获取答案 — 而不是在建立管道之后。大多数 EVTX 猎人只回答一个问题：*哪些事件与规则匹配？* EVTXHunter 是为了回答接下来可能出现的问题而构建的 — *哪个用户最可疑，哪个主机积累了最多的风险，哪些事件构成了完整的攻击链，以及应该首先调查什么？* 关联引擎、按实体风险评分和就绪的 HTML 报告的存在是为了将匹配墙转换为分级调查。重点不仅仅是检测 — 而是分级。 *将分析带到日志，而不是将日志带到平台。* ## 示例报告整个输出是一个单独的自包含 HTML 文件 — 无服务器，无互联网，无外部资产。下面的截图显示了报告结构：按严重程度排序的发现仪表板、MITRE ATT&CK 映射、实体风险评分和重建的关联链。