🇷🇺 cfltools: Инструменты лаборатории компьютерной криминалистики ( форензики ) — Information Security Squad

🇷🇺 cfltools: Инструменты лаборатории компьютерной криминалистики ( форензики )

Автоматизирует и упрощает общие задачи анализа, с которыми сталкиваются исследователи, занимающиеся киберпреступностью, особенно анализ файлов журналов.

Эти инструменты предназначены для того, чтобы помочь аналитику по безопасности быстро изучить отдельные файлы логов, связанные с конкретным инцидентом безопасности.

Средства предназначены для извлечения обычно требуемой информации для респондента (например, всех уникальных IP-адресов, которые содержатся в лог-файле, и связанной с ними информации WHOIS для наиболее часто встречающихся IP-адресов) и оптимизации процесса анализа.

Они основаны на наблюдениях за кибер-расследованиями

Как это работает

Статический анализ и логарифмическая корреляция

Большую часть времени респондент старается собрать все журналы, связанные с данным инцидентом, в одну папку.

Эта программа предоставит инструменты для анализа в этой папке.

Можно назвать эти папки «папками инцидентов».

Программа также сможет импортировать эту информацию в центральную базу данных sqlite (в разработке), чтобы вы могли выполнить корреляцию журнала.

Общие предположения

Эти инструменты делают некоторые общие предположения о работе, которую вы делаете.

Среди наиболее важных:

  • Файлы журнала, которые вы используете, полностью статичны. Программа обнаруживает, видел ли он ранее файл журнала, взяв хеш файла. Как правило, я предполагаю, что журналы, которые вы вводите в эту программу, должны рассматриваться как свидетельство, поэтому останутся неизменными (имя файла, содержимое и т. д.) С начала вашего анализа до конца. Если вам нужно переименовать файл в целях архивирования (я заметил, что некоторые дампы данных довольно стандартизированы, а некоторые используют одни и те же имена файлов несколько раз), вам следует переименовать файл перед его импортом с помощью этого инструмента.
  • Эти данные обычно используют IP-адрес в качестве общего идентификатора. Это несовершенно, но это то, что мы имеем сейчас.

Установка && Использование

 

 

cryptoparty

Cryptography is typically bypassed, not penetrated.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

5e7fa976b0640d40