APT-Hunter 项目常见问题解决方案

APT-Hunter 项目常见问题解决方案

APT-Hunter APT-Hunter is Threat Hunting tool for windows event logs which made by purple team mindset to provide detect APT movements hidden in the sea of windows event logs to decrease the time to uncover suspicious activity 项目地址: https://gitcode.com/gh_mirrors/ap/APT-Hunter

一、项目基础介绍

APT-Hunter 是一款针对 Windows 事件日志的威胁狩猎工具，由 purple team 思维模式开发，旨在检测隐藏在海量 Windows 事件日志中的 APT 活动，以减少发现可疑活动的时间。该工具使用预定义的检测规则，并专注于统计分析，以发现异常，这在妥协评估中非常有效。输出的结果带有时间线，可以直接在 Excel、Timeline Explorer 或 Timesketch 等工具中进行分析。

主要编程语言：Python

二、新手常见问题及解决步骤

问题一：如何安装 APT-Hunter

问题描述：新手用户不知道如何安装和配置 APT-Hunter。

解决步骤：

1. 确保您的系统已经安装了 Python 3。
2. 使用以下命令安装项目所需的依赖库：

   python3 -m pip install -r requirements.txt
   

3. 安装完成后，您可以使用 -h 参数来打印帮助信息，查看所需的选项。

问题二：如何分析 EVTX 文件

问题描述：用户不清楚如何使用 APT-Hunter 来分析 EVTX 文件。

解决步骤：

1. 将 EVTX 文件放置在指定目录下或提供单个文件的路径。
2. 使用以下命令启动分析：

   python3 APT-Hunter.py -p /path/to/wineventlogs/ -o Project1 -allreport
   

   其中 -p 参数指定日志文件路径，-o 参数指定输出项目名称，-allreport 参数表示生成完整报告。

问题三：如何设置时间范围进行针对性分析

问题描述：用户希望分析特定时间范围内的日志，但不知道如何设置。

解决步骤：

1. 在执行分析命令时，添加 -s 和 -e 参数来指定开始和结束时间，格式为 YYYY-MM-DD HH:MM:SS。
2. 例如：

   python3 APT-Hunter.py -p /path/to/wineventlogs/ -o Project1 -allreport -s "2023-01-01 00:00:00" -e "2023-01-31 23:59:59"
   

   这将仅分析 2023 年 1 月内的日志。

以上是新手在使用 APT-Hunter 时可能会遇到的三个常见问题及其解决步骤。希望这些信息能够帮助您更好地使用这个强大的威胁狩猎工具。

APT-Hunter APT-Hunter is Threat Hunting tool for windows event logs which made by purple team mindset to provide detect APT movements hidden in the sea of windows event logs to decrease the time to uncover suspicious activity 项目地址: https://gitcode.com/gh_mirrors/ap/APT-Hunter