Автоматизирует и упрощает общие задачи анализа, с которыми сталкиваются исследователи, занимающиеся киберпреступностью, особенно анализ файлов журналов.
Эти инструменты предназначены для того, чтобы помочь аналитику по безопасности быстро изучить отдельные файлы логов, связанные с конкретным инцидентом безопасности.
Средства предназначены для извлечения обычно требуемой информации для респондента (например, всех уникальных IP-адресов, которые содержатся в лог-файле, и связанной с ними информации WHOIS для наиболее часто встречающихся IP-адресов) и оптимизации процесса анализа.
Они основаны на наблюдениях за кибер-расследованиями
Как это работает
Статический анализ и логарифмическая корреляция
Большую часть времени респондент старается собрать все журналы, связанные с данным инцидентом, в одну папку.
Эта программа предоставит инструменты для анализа в этой папке.
Можно назвать эти папки «папками инцидентов».
Программа также сможет импортировать эту информацию в центральную базу данных sqlite (в разработке), чтобы вы могли выполнить корреляцию журнала.
Общие предположения
Эти инструменты делают некоторые общие предположения о работе, которую вы делаете.
Среди наиболее важных:
- Файлы журнала, которые вы используете, полностью статичны. Программа обнаруживает, видел ли он ранее файл журнала, взяв хеш файла. Как правило, я предполагаю, что журналы, которые вы вводите в эту программу, должны рассматриваться как свидетельство, поэтому останутся неизменными (имя файла, содержимое и т. д.) С начала вашего анализа до конца. Если вам нужно переименовать файл в целях архивирования (я заметил, что некоторые дампы данных довольно стандартизированы, а некоторые используют одни и те же имена файлов несколько раз), вам следует переименовать файл перед его импортом с помощью этого инструмента.
- Эти данные обычно используют IP-адрес в качестве общего идентификатора. Это несовершенно, но это то, что мы имеем сейчас.
Установка && Использование