O Event2Timeline é uma ferramenta desenvolvida em D3js que realiza a leitura de arquivos de eventos do Windows (EVTX) e (EVT exportados para CSV) e de forma gráfica que auxilia no entendimento dos eventos. | ||
Em alguns caso de ataques ou ate mesmo em um servidor Honeypot é possível obter dados interessantes sobre o comportamento das interfaces. | ||
01 — Passo | ||
Realize o download do event2timeline. | ||
git clone https://github.com/certsocietegenerale/event2timeline | ||
02 — Passo | ||
Entre no diretório do event2timeline e liste os arquivos. | ||
cd event2timeline/ls -l | ||
03 — Passo | ||
Certifique-se que seu sistema possui todos os pré-requisitos para utilizar o event2timeline, caso não possua a instalação dos pacotes necessários serão realizadas. | ||
pip install -r requirements.txt | ||
04 — Passo | ||
Crie um diretório Windows e copie o arquivo de evento (ex. Security.evtx) para o diretório. | ||
mkdir Windowscd Windowsls -l | ||
Eventos do Windows : C:\Windows\System32\winevt\Logs. | ||
05 — Passo | ||
Volte ao diretório principal e execute o event2timeline. | ||
python event2timeline.py -e -f Windows/Security.evtx | ||
06 — Passo | ||
Navegue ate o diretório principal event2timeline/timeline e abra o arquivo timeline-sessions.html para visualizar o resultado. | ||