EventList 开源项目教程

EventList 开源项目教程

EventList EventList 项目地址: https://gitcode.com/gh_mirrors/ev/EventList

1. 项目介绍

EventList 是一个用于提升审计能力和构建安全运营中心的工具。它结合了 Microsoft 安全基线与 MITRE ATT&CK 框架，并生成适用于 SIEM 系统的狩猎查询，无论使用的是哪种 SIEM 产品。EventList 的主要功能包括导入基线、生成事件列表、生成代理配置、生成 GPO、生成查询等。

2. 项目快速启动

2.1 安装

首先，确保你已经安装了 PowerShell 模块依赖项：

Install-Module -Name PSFramework -Force
Install-Module -Name PSSQLite -Force
Install-Module -Name powershell-yaml -Force

然后，安装 EventList 模块：

Install-Module -Name EventList -Force

2.2 启动 GUI

安装完成后，可以通过以下命令启动 EventList GUI：

Open-EventListGUI

2.3 导入基线

在 GUI 中，选择“导入基线”按钮，选择包含基线的文件夹进行导入。导入的基线将自动填充到数据库中。

2.4 生成事件列表

选择一个基线，然后选择要生成的 MITRE ATT&CK 技术/领域。点击“生成事件列表”按钮，选择输出文件夹，生成的事件列表将以 CSV 格式保存。

3. 应用案例和最佳实践

3.1 安全运营中心 (SOC)

在 SOC 中，EventList 可以帮助安全分析师快速生成与特定 MITRE ATT&CK 技术相关的狩猎查询。通过导入组织的安全基线，分析师可以生成针对特定威胁的查询，从而提高威胁检测的效率。

3.2 合规性审计

EventList 还可以用于合规性审计。通过导入组织的合规性基线，可以生成与合规性要求相关的事件列表，帮助组织确保其安全策略符合行业标准。

3.3 自动化威胁检测

结合 SIEM 系统，EventList 生成的查询可以直接导入到 SIEM 中，实现自动化威胁检测。通过定期生成和更新查询，组织可以持续监控其环境中的潜在威胁。

4. 典型生态项目

4.1 Sigma

Sigma 是一个开源的规则生成工具，可以将通用的事件描述转换为特定 SIEM 系统的查询语言。EventList 与 Sigma 集成，可以自动生成适用于不同 SIEM 系统的查询。

4.2 Microsoft Defender ATP

Microsoft Defender ATP 是微软的企业级终端安全解决方案。EventList 生成的查询可以直接导入到 Microsoft Defender ATP 中，增强其威胁检测能力。

4.3 Splunk

Splunk 是一个广泛使用的 SIEM 系统。EventList 生成的查询可以直接导入到 Splunk 中，帮助组织快速构建威胁检测规则。

通过结合这些生态项目，EventList 可以显著提升组织的安全运营能力，帮助其在复杂的威胁环境中保持安全。

EventList EventList 项目地址: https://gitcode.com/gh_mirrors/ev/EventList