#Sysmon
SysmonTools - Windows系统监控与安全分析工具集 提升事件响应效率
Github开源项目配置工具Sysmon日志可视化网络捕获事件分析
SysmonTools是一套Windows系统监控工具集,由Sysmon View、Sysmon Shell和Sysmon Box组成。它可视化Sysmon日志、配置Sysmon、捕获网络流量,支持事件关联分析和地理位置映射。该工具集有助于提高系统监控、事件分析和威胁检测的效率,适用于Windows环境下的安全运维工作。
Zircolite - 基于SIGMA规则的多格式日志威胁检测工具
Github开源项目PythonSysmonSIGMAEVTXAuditd
Zircolite是一款开源的日志威胁检测工具,支持Windows EVTX、Auditd、Sysmon for Linux等多种日志格式。它使用SIGMA规则进行检测,具有快速处理大数据、基于SQLite的规则解析和多种结果导出格式等特点。工具提供Python源码和预编译二进制文件,并配有详细文档和教程。其内置的离线Mini-GUI可用于结果可视化和搜索。
sentinel-attack - Sentinel ATT&CK,整合Sysmon与MITRE ATT&CK的Azure威胁狩猎工具集
Github开源项目MITRE ATT&CKSysmonSentinel ATT&CKAzure Sentinel威胁捕获
Sentinel ATT&CK是一款专为Azure Sentinel设计的开源威胁狩猎工具集,集成了Sysmon和MITRE ATT&CK框架。该工具提供自动化部署模板、Sysmon配置、日志解析器、117个检测规则(覆盖156个ATT&CK技术)以及威胁狩猎工作簿。通过简化Azure环境中的威胁检测和响应流程,Sentinel ATT&CK为蓝队和安全分析师提供了高效、强大而灵活的安全防护解决方案。