El otro día apareció una publicación en Linkedin en la que me topé con XDR Story Parser, una herramienta open source desarrollada por Fabian Bader que facilita la visualización y trabajo avanzado con historiales de ataques y árboles de procesos de Microsoft Defender XDR fuera del portal oficial.
Qué es XDRStoryParser?
Se trata de una herramienta que permite cargar archivos JSON exportados del portal de Microsoft Defender XDR (siguiendo unos sencillos pasos usando las DevTools del navegador) para visualizar árboles de procesos y líneas de tiempo asociadas a incidentes de seguridad.
Entre sus funciones principales destacan:
- Visualización gráfica del árbol de procesos de un ataque.
- Redacción automática/anónima de datos sensibles en los JSON (usuarios, dominios, etc.), ideal para compartir casos sin filtrar datos confidenciales.
- Zoom y filtrado para enfocar solo partes relevantes del árbol.
- Extracción automatizada de scripts PowerShell y líneas de comandos usados en las alertas.
- Exportación del árbol de procesos a texto o captura de pantalla.
- Posibilidad de instalación en local, abriendo un simple HTML, sin enviar datos a terceros.
¿Para quién es útil?
- Analistas SOC y DFIR que trabajan con Defender XDR.
- Formadores que quieran generar ejemplos limpios o didácticos.
- Consultores de seguridad que necesiten revisar o compartir incidentes anonimizados.
Enlaces útiles:
- Repositorio GitHub: https://github.com/f-bader/XDRStoryParser
- Demo web: https://f-bader.github.io/XDRStoryParser/
