BlueTriage: la "navaja suiza" para quienes no quieren configurar un SIEM completo
BlueTriage unifica los eventos de Windows en un esquema común y señala dónde hay indicios de compromiso
En GitHub apareció BlueTriage — una herramienta sencilla para el análisis rápido de registros de Windows, que toma eventos de seguridad en formato JSON, los transforma a un esquema unificado y los procesa mediante un conjunto de reglas simples, y como resultado entrega un archivo con alertas y un informe HTML para el análisis inicial del incidente.
En esencia, BlueTriage intenta resolver el problema típico de la respuesta: cuando los registros ya están volcados, pero hay que convertirlos rápidamente a una forma comprensible y extraer las «banderas rojas» sin procesos pesados de SIEM ni configuraciones largas. En el MVP actual, el autor implementó la cadena 'ingesta → normalización → detecciones → exportación', para poder ejecutar un conjunto de eventos con un solo comando y obtener un resultado legible para revisión.
En la configuración inicial hay varias reglas para escenarios populares del registro de seguridad de Windows: intentos fallidos de inicio de sesión (4625), creación de usuario (4720), adición a grupos privilegiados (4728/4732) y creación de tareas programadas (4698). Cada regla está marcada con un nivel de criticidad y vinculada a técnicas MITRE ATT&CK (por ejemplo, T1110 para ataques de fuerza bruta de contraseñas y T1053.005 para el programador de tareas), para que sea más fácil asociar las alertas a modelos de ataque conocidos.
La ejecución ahora está orientada a Windows y al entorno virtual de Python: instalación desde el repositorio, comando para escanear un archivo JSON con eventos y un comando separado para generar el informe HTML. Según la descripción del repositorio, el proyecto está escrito en Python y para las plantillas del informe se usa Jinja.
En los planes del autor está el soporte de EVTX (para poder alimentar la herramienta directamente con exportaciones de los registros de Windows), la transición a reglas en YAML al estilo 'Sigma-lite', puntaje y ordenamiento por evaluación (High → Low), así como informes en Markdown, útiles para tickets.
¿Estás cansado de que Internet sepa todo sobre ti?