<aside> <img src="/icons/home_lightgray.svg" alt="/icons/home_lightgray.svg" width="40px" /> HOME


Forensic Tools

Penetration Tools

Vulnerabilities & CVE

BB & Other

CTF

Blog & Books (KNiggas)

About(CV)

</aside>

<aside> <img src="/icons/list-indent_blue.svg" alt="/icons/list-indent_blue.svg" width="40px" /> Table of Contents

</aside>

Untitled

https://github.com/wagga40/Zircolite/raw/master/pics/Zircolite_v2.9.gif

GitHub - wagga40/Zircolite: A standalone SIGMA-based detection tool for EVTX, Auditd and Sysmon for Linux logs

Zircolite

Отличный инструмент для исследования логов, особенно крайне кривых и неудобных 💻 Windows EVTX Проводит анализ на основе SIGMA правил (основные идут в комплекте), также работает с файлами .log, .xml, .json

Untitled


Installation (Linux/MacOS/Windows)

git clone <https://github.com/wagga40/Zircolite>
cd Zircolite
pip3 install -r requirements.full.txt

Binary for Windows

<aside> <img src="/icons/error_gray.svg" alt="/icons/error_gray.svg" width="40px" /> Для WIndows есть собранный бинарь

</aside>

Using

<aside> <img src="/icons/error_gray.svg" alt="/icons/error_gray.svg" width="40px" /> Примеры использования

</aside>

#EVTX files
python3 zircolite.py --evtx system.evtx
python3 zircolite.py --evtx system.evtx --ruleset rules/rules_windows_sysmon_pysigma.json

#Auditd / Sysmon for Linux / JSONL or NDJSON logs
python3 zircolite.py --events auditd.log --ruleset rules/rules_linux.json --auditd
python3 zircolite.py --events sysmon.log --ruleset rules/rules_linux.json --sysmon4linux
python3 zircolite.py --events <JSON_FOLDER or JSON_FILE> --ruleset rules/rules_windows_sysmon_pysigma.json --jsononly

#Update ruleset
python3 zircolite.py -U

Mini GUI

<aside> <img src="/icons/error_gray.svg" alt="/icons/error_gray.svg" width="40px" /> Начиная с версии Zircolite 2.1.0, более простым способом использования Mini-GUI является генерация пакета с помощью опции --package. В корне хранилища будет создан zip-файл, содержащий все необходимые данные.

</aside>

You need to generate a data.js file with the exportForZircoGui.tmpl template, decompress the zircogui.zip file in the gui directory and replace the data.js file in it with yours :

python3 zircolite.py --evtx sample.evtx
    --ruleset rules/rules_windows_sysmon_pysigma.json \\
    --template templates/exportForZircoGui.tmpl --templateOutput data.js
7z x gui/zircogui.zip
mv data.js zircogui/

Then you just have to open index.html in your favorite browser and click on a Mitre Att&ck category or an alert level.


Modules

<aside> <img src="/icons/error_gray.svg" alt="/icons/error_gray.svg" width="40px" /> Kape has a module for Zircolite : **here | Velociraptor** has an artifact for Zircolite : here

</aside>

Documentation (WiKi)

Document