Chainsaw: la herramienta del DFIR para tu CSIRT (rápida, precisa y lista para cazar)
En respuesta a incidentes, cada minuto cuenta.
Cuando los logs se acumulan y el tiempo apremia, Chainsaw transforma volúmenes masivos de registros en señales claras, priorizadas y accionables, detectando persistencia, ejecución anómala o movimiento lateral en cuestión de minutos.
Portátil, ultrarrápido y utilizable incluso sin un EDR o SIEM, Chainsaw es el aliado ideal del analista DFIR o del equipo CSIRT que necesita ver antes, actuar primero y documentar con rigor.
🧩 ¿Qué es Chainsaw?
Chainsaw es una herramienta ligera de línea de comandos desarrollada por WithSecure Countercept para analizar y cazar en registros forenses de Windows, especialmente los archivos .evtx.
Está pensada para first responders, portable y muy rápida: ideal para entornos sin conexión o para análisis en campo.
📸 Figura 1 – Uso básico de Chainsaw y comandos disponibles

Con ella puedes:
- Buscar y correlacionar en miles de eventos en segundos.
- Aplicar reglas Sigma o detecciones nativas para elevar señales relevantes.
- Exportar resultados estructurados en texto, CSV o JSON.
- Usarla en Windows, Linux o macOS, tanto en laboratorio como en producción.
🧠 Sigma + Chainsaw: el tándem ganador
Sigma es el lenguaje universal para describir comportamientos sospechosos a partir de logs.
Chainsaw convierte esas descripciones en acción, aplicándolas sobre tus artefactos locales de eventos de Windows.
📸 Figura 2 – Ejecución de Chainsaw con reglas Sigma mapeadas para EVTX

Aquí se observa un ejemplo real:
chainsaw.exe hunt EVTX-ATTACK-SAMPLES/ -s sigma/ --mapping mappings/sigma-event-logs-all.yml
Con esta ejecución:
- Se cargan reglas Sigma.
- Se correlacionan artefactos
.evtxy.evt. - Se identifican eventos relevantes agrupados por detección.
📸 Figura 3 – Detecciones basadas en Sigma aplicadas a logs forenses

En este caso, Chainsaw detectó cambios en cuentas DSRM y enumeraciones de políticas de contraseñas, ambos indicios de actividad administrativa sospechosa.
🛡️ Valor directo para CSIRT y DFIR
- ⚡ Velocidad: análisis forense o hunting en minutos, no horas.
- 🌐 Cobertura: visibilidad sin necesidad de agentes ni EDR.
- 📜 Estandarización: misma sintaxis y reglas Sigma usadas globalmente.
- 🤝 Colaboración: resultados claros, trazables y compartibles.
📸 Figura 4 – Ejecución sobre muestras EVTX con detección nativa de amenazas

Chainsaw incluye detecciones integradas (“Built-in Logic”) para eventos clave de Windows Defender, ayudando a correlacionar eventos con malware conocido o actividades laterales.
🔬 Flujo de trabajo DFIR recomendado
1️⃣ Reúne los artefactos de Windows (logs de eventos, Sysmon, seguridad, sistema).
2️⃣ Ejecuta Chainsaw con detecciones Sigma y sus mapeos correspondientes.
3️⃣ Prioriza hallazgos críticos:
- Persistencia (
autoruns,services,tasks) - Movimiento lateral (
PsExec,WinRM,RDP) - Creación de usuarios o grupos sospechosos
- Limpieza o borrado de logs
4️⃣ Exporta resultados a CSV o JSON para análisis más profundo.
5️⃣ Retroalimenta tus Sigma rules con lo aprendido.
📸 Figura 5 – Ejemplo de detecciones integradas (usuarios, grupos, limpieza de logs)

Aquí, Chainsaw identifica tres comportamientos de riesgo:
- Limpieza de logs del sistema (
System log was cleared). - Creación de nuevos usuarios.
- Inclusión de cuentas en el grupo de administradores.
📂 Exportación estructurada de hallazgos
El valor de Chainsaw no termina en la detección: puedes generar salidas organizadas para análisis adicional o archivado.
📸 Figura 6 – Exportación de detecciones a CSV con --csv chainsaw_output

El comando:
chainsaw.exe hunt evtx_attack_samples --lateral-all --csv chainsaw_output
Crea automáticamente ficheros estructurados con los resultados de cada detección.
Cada CSV incluye el contexto: fecha, evento, usuario, host y tipo de detección.
Estos archivos pueden importarse en Excel, Kibana o tu plataforma SIEM para enriquecer investigaciones.
🧭 Buenas prácticas de uso
- 🔄 Actualiza periódicamente tus reglas Sigma y mapeos YAML.
- 🧩 Etiqueta tus hallazgos: host, usuario, IP, timeline y contexto.
- ⚙️ Integra salidas CSV/JSON en tu pipeline SIEM o IR dashboard.
- 🧠 Practica hunts periódicos con datasets simulados (Atomic Red Team, APT datasets, etc.).
📌 Conclusiones
Chainsaw convierte el caos de los logs en inteligencia accionable.
Su diseño rápido, modular y portable lo hace ideal para CSIRTs que buscan una herramienta ágil y confiable sin depender de infraestructura pesada.
En combinación con Sigma, ofrece un marco coherente de detección, correlación y documentación que acelera el análisis forense y refuerza la trazabilidad de tus incidentes.
“Cuando cada segundo importa, Chainsaw corta el ruido para dejar solo lo que realmente importa.”
