Skip to content
This repository has been archived by the owner on May 6, 2024. It is now read-only.

Latest commit

 

History

History
27 lines (17 loc) · 1.12 KB

Readme.md

File metadata and controls

27 lines (17 loc) · 1.12 KB
Raw

Zircolite mini-IHM

La Mini-IHM permet de visualiser les détections effectuées par Zircolite

⚠️ Si elle peut être pratique pour un nombre limité de résultats, la mini-IHM ne se substitue pas à des outils comme Splunk. Si vous avez de nombreux résultats à traiter, utiliser le template d'export vers Splunk disponible dans le répertoire template.

Prérequis

Données

La mini-IHM s'appuie sur le fichier data.js à mettre dans le même répertoire que l'IHM. Le fichier data.js doit être généré à partir du mécanisme de templating de Zircolite :

python3 zircolite.py \
			--evtx ../Samples/EVTX-ATTACK-SAMPLES/ \
			--ruleset rules/rules_medium_sysmon_performance_v3.json \ 
			--template templates/exportForZircoGui.tmpl \ 
			--templateOutput data.js
mv data.js gui/

Usage

Il suffit ensuite de placer le fichier data.js dans le même répertoire que la mini-IHM. Un fichier de démonstration est déjà présent et correspondant à l'utilisation de Zircolite sur le dépot suivant : EVTX-ATTACK-SAMPLES.