DeepBlueCLI en DFIR y CSIRT: el poder del análisis forense en Windows Logs
💡 En el mundo de la respuesta ante incidentes, hay una verdad incómoda:
los logs lo saben todo… pero casi nadie los escucha.
Cuando ocurre una intrusión, los Event Logs de Windows son la línea temporal más fiel de lo que realmente pasó.
Y ahí es donde DeepBlueCLI, una herramienta open-source escrita en PowerShell, se convierte en la lupa perfecta para el analista DFIR.
⚙️ ¿Qué es DeepBlueCLI?
DeepBlueCLI es un script desarrollado por Eric Conrad (SANS) que analiza de forma inteligente registros Security.evtx, Sysmon.evtx, PowerShell.evtx, entre otros,
buscando indicadores de ataque (IoA), técnicas MITRE ATT&CK y patrones de comportamiento sospechoso.
No requiere agentes, no modifica nada, y puede ejecutarse offline — ideal para entornos aislados, laboratorios o análisis post-mortem.
📸 Figura 1 – Ejecución básica del script sobre un archivo EVTX

En este ejemplo, DeepBlueCLI analiza un log de seguridad (new-user-security.evtx) y muestra eventos de creación de usuarios y modificaciones en grupos locales.
🔍 Lo que detecta con precisión quirúrgica
DeepBlueCLI se centra en las áreas más críticas del hunting forense en Windows:
- 🔐 Autenticaciones sospechosas (brute-force, pass-the-hash, password spray).
- ⚙️ Creación de procesos anómalos (
rundll32,regsvr32,powershell.exe). - 🧩 Actividad RDP irregular (movimiento lateral).
- 🧠 Cambios en privilegios o grupos administrativos.
- 🎭 Detección de Kerberoasting y abuso de credenciales.
Cada alerta incluye contexto técnico (evento, cuenta, proceso, host) y un mensaje descriptivo en lenguaje natural para acelerar la respuesta.
📸 Figura 2 – Análisis de evento EVTX con detección de Password Spray y borrado de logs

En este ejemplo, DeepBlueCLI identifica:
- Uso distribuido de credenciales (Password Spray Attack).
- Borrado de logs del sistema (
EventID 1102), indicio típico de anti-forensics.
🧪 Por qué es oro para DFIR y CSIRT
En una investigación real, el tiempo es todo.
DeepBlueCLI permite a los equipos forenses procesar miles de eventos y destacar lo relevante en segundos.
✅ Ventajas principales:
- Procesa grandes volúmenes de logs sin depender de un SIEM.
- Automatiza correlaciones que antes requerían horas manuales.
- Puede integrarse en playbooks CSIRT o ejecutarse standalone.
- Genera resultados con contexto técnico listo para informes.
📸 Figura 3 – Detección de PowerShell obfuscado con decodificación parcial

Aquí, DeepBlueCLI detecta una línea de comando PowerShell fuertemente ofuscada (EventID 4104) e incluso intenta decodificarla, revelando el patrón de ejecución maliciosa.
🚀 Casos de uso reales
1️⃣ Ataque de fuerza bruta (Brute Force):
Correlaciona EventID 4625 (fallos de inicio de sesión) y 4624 (inicio exitoso) → identifica la IP del atacante y la cuenta comprometida.
2️⃣ Movimiento lateral:
Detecta inicios de sesión tipo 3 y 10 con hosts anómalos → evidencia pivote interno.
3️⃣ Abuso de PowerShell:
Localiza comandos Base64, cadenas obfuscadas y ejecución de scripts remotos → mapea la técnica MITRE T1059.001.
4️⃣ Kerberoasting:
Analiza EventID 4769 (TGS Request con RC4-HMAC) → posible extracción de tickets para crackeo offline.
⚔️ En tu arsenal DFIR
DeepBlueCLI es una herramienta imprescindible para:
🔸 Triage post-incidente: extrae evidencias iniciales de hosts comprometidos.
🔸 CSIRT con visibilidad limitada: analiza logs exportados desde endpoints o DCs.
🔸 Laboratorios de entrenamiento: valida detecciones Sigma o YARA-L sobre EVTX reales.
🔸 Entornos sin conexión: útil en investigaciones forenses aisladas o clasificados.
🧩 Integración y automatización
DeepBlueCLI puede integrarse fácilmente en pipelines de adquisición forense junto con:
- KAPE, para recolectar los
EVTXde destino. - Hayabusa, para generar timelines posteriores.
- Chainsaw, para validar correlaciones Sigma.
Esto permite construir un flujo de análisis modular, desde la extracción hasta la visualización y documentación de hallazgos.
🧠 Conclusión
DeepBlueCLI convierte el ruido de los Windows Event Logs en inteligencia procesable.
Para analistas DFIR y CSIRT, es una herramienta que ahorra tiempo, eleva precisión y refuerza la narrativa forense de cada caso.
“Los logs no mienten; solo hay que saber escucharlos.
DeepBlueCLI les da voz.”
