Windows图形化应急分析工具-Hawkeye
💡
原文中文,约2900字,阅读约需7分钟。
📝
内容提要
Hawkeye是一个Windows应急响应工具,旨在简化日志分析和进程监控。它支持查看进程信息、外连分析、主机信息和日志分析,帮助安全工程师快速定位问题。该工具体积小、功能全面,适用于Windows 7及以上版本,用户可在GitHub下载并反馈建议。
🎯
关键要点
- Hawkeye是一个Windows应急响应工具,旨在简化日志分析和进程监控。
- 该工具支持查看进程信息、外连分析、主机信息和日志分析,帮助安全工程师快速定位问题。
- Hawkeye体积小、功能全面,适用于Windows 7及以上版本,用户可在GitHub下载并反馈建议。
- 工具的开发初衷是为了填补市场上应急响应工具的不足,减少使用复杂命令行的麻烦。
- Hawkeye包含进程查看、外连分析、主机信息、日志分析和yara内存扫描等功能。
- 外连分析功能帮助用户识别异常外连进程,适用于挖矿和权限维持场景。
- 主机信息模块可查看用户信息、计划任务和服务信息,帮助发现异常。
- 日志分析功能支持网络登录日志、RDP登录日志、服务创建日志、用户创建日志和SQL Server日志的查看。
- Hawkeye引入yara内存扫描引擎,支持内置和自定义规则进行内存扫描。
- 工具的更新版本增加了对powershell日志的支持,方便安全工程师进行分析。
➡️
