Chainsaw — это мощный инструмент для быстрого поиска признаков компрометации в EVTX-логах Windows. Он прочесывает тонны событий, находит артефакты атак, детектит тактики из MITRE ATT&CK и подсвечивает аномалии. Идеален для Blue Team, SOC-аналитиков и тех, кто хочет понять, что происходило на системе после инцидента — скачал, запустил, получил отчёт.
Что важно:
➡️ Поиск по сигнатурам Sigma — использует огромную базу правил для обнаружения конкретных атак (PowerShell, WMI, RDP-брутфорс, Mimikatz)
➡️ Mapping на MITRE ATT&CK — сразу видно, какая тактика использовалась (TA0003 — Persistence, TA0005 — Defense Evasion)
➡️ Мгновенный анализ — папка с логами обрабатывается за секунды, даже если там гигабайты событий
➡️ Гибкая фильтрация — можно копать по времени, ID событий, хостам, ключевым словам
➡️ Вывод в понятном формате — JSON, CSV или красивый ASCII-отчёт с подсветкой опасного
👉 Качай и ищи следы (https://github.com/withSecureLabs/chainsaw)