EvtxECmd: analyse approfondie des logs Windows
Introduction
L’analyse des logs Windows est essentielle pour la sécurité informatique et la forensic numérique (investigation numérique). EvtxECmd est un outil développé par Eric Zimmerman qui cherchent à extraire et analyser efficacement les informations contenues dans les fichiers de logs Windows (.evtx).
Installation
Vous devez télécharger EvtxECmd. Vous pouvez le trouver dans le GitHub d’Eric Zimmerman :
- GitHub : Eric Zimmerman’s Tools
Utilisation basic d’EvtxECmd
EvtxECmd permet aux analystes de traiter les fichiers de logs Windows Event (.evtx) et de les convertir en formats plus accessibles comme le CSV ou le XML. Pour convertir un log .evtx en CSV en utilisant les maps par défaut :
EvtxECmd.exe -f "C:\Windows\System32\winevt\Logs\fichier.evtx" -csv "C:\Windows\System32\winevt\Logs\extract_basic.csv"
- Source : Introducing EvtxECmd
Qu’est-ce que des “maps”?
EvtxECmd se distingue par sa capacité à appliquer des “maps”, qui sont essentiellement des fichiers de configuration décrivant comment interpréter les données des logs pour les rendre plus intelligibles et exploitables.
Les “maps” sont des fichiers de configuration qui contiennent des informations sur la manière d’interpréter et de présenter les données contenues dans les fichiers de logs Windows Event (.evtx). Ces maps permettent à EvtxECmd de traduire les données brutes en un format plus lisible et plus utile pour l’analyse.
Chaque map correspond à un type spécifique d’événement et peut inclure des définitions pour les noms des champs, des descriptions d’événements, et même des règles pour la transformation des données. En utilisant des maps, vous pouvez personnaliser l’output d’EvtxECmd pour qu’il mette en évidence les informations les plus pertinentes pour votre enquête ou votre analyse.
Pour appliquer une map à l’output d’EvtxECmd :
EvtxECmd.exe -f "C:\Windows\System32\winevt\Logs\fichier.evtx" --map "chemin\vers\custom.map" -csv "C:\Windows\System32\winevt\Logs\sortie_custom.csv"
Exemple map pour les connexion réussie (Event ID 4624)
Les événements de connexion réussie sont consignés avec l’ID d’événement 4624 dans le journal de sécurité Windows. Un fichier de map pour cet événement peut aider à extraire des détails tels que le nom d’utilisateur, le domaine, et le type de connexion. Supposons que vous avez un fichier de map nommé Security_LogonSuccess_4624.map pour ces événements.
Voici la ligne de commande en markdown :
EvtxECmd.exe -f "C:\Windows\System32\winevt\Logs\Security.evtx" --csv "C:\Output\logon_success_events.csv" --map "C:\Maps\Security_LogonSuccess
Exemple map pour la création de processus (Event ID 4688)
Lorsqu’un nouveau processus est créé, un événement avec l’ID 4688 est généré. Un fichier de map pour cet événement peut permettre d’obtenir des détails comme le nom du processus et l’utilisateur qui a déclenché sa création. Imaginons que vous avez un fichier de map appelé Security_NewProcess_4688.map pour analyser ces informations.
EvtxECmd.exe -f "C:\Windows\System32\winevt\Logs\Security.evtx" --csv "C:\Output\process_creation_events.csv" --map "C:\Maps\Security_NewProcess_4688.map"
Exemple map pour l’accès aux fichiers (Event ID 4663)
Les tentatives d’accès aux fichiers (succès ou échec) sont enregistrées avec l’ID d’événement 4663. Un fichier de map peut être utilisé pour analyser ces événements et extraire des informations telles que l’identifiant du fichier et l’utilisateur concerné. Supposons que le fichier de map s’appelle `Security_File
EvtxECmd.exe -f "C:\Windows\System32\winevt\Logs\Security.evtx" --csv "C:\Output\file_access_events.csv" --map "C:\Maps\Security_FileAccess_4663.map"
Aller plus loin avec les outils d’Eric Zimmerman
Eric Zimmerman propose une suite d’outils de forensic qui peuvent être utilisés en complément d’EvtxECmd pour une analyse approfondie des systèmes Windows.
MFTECmd
MFTECmd est utilisé pour analyser le fichier $MFT (Master File Table) qui contient des métadonnées sur chaque fichier et chaque dossier sur un volume NTFS.
MFTECmd.exe -f "chemin\vers\$MFT" -csv "chemin\vers\mft_output.csv"
Registry Explorer/RECmd
Cet outil permet l’exploration et l’analyse des fichiers de registre Windows, offrant une interface graphique et une variété de fonctionnalités avancées.
RECmd.exe -f "chemin\vers\NTUSER.DAT" --bn "chemin\vers\batch_file.reb"
AmcacheParser
AmcacheParser lit les fichiers Amcache.hve de Windows, qui stockent des informations sur les applications exécutées sur le système.
AmcacheParser.exe -f "chemin\vers\Amcache.hve" -csv "chemin\vers\amcache_output.csv"
LECmd
LECmd est conçu pour analyser les raccourcis Windows (.lnk) pour aider à retracer les actions de l’utilisateur sur un système.
LECmd.exe -f "chemin\vers\lien.lnk" -csv "chemin\vers\lnk_output.csv"
Chaque outil a ses propres spécificités et options, et peut être combiné pour fournir une vue d’ensemble complète lors d’une enquête numérique. Pour plus d’informations et pour télécharger ces outils, visitez le GitHub d’Eric Zimmerman.
