DFIR araştırmacıları için bir Windows adli aracı olan Forensic-Timeliner, dijital adli tıp ve olay yanıt operasyonları için gelişmiş otomasyon ve gelişmiş artefakt desteği sunan sürüm 2.2 yayınladı.
Bu yüksek hızlı işleme motoru, önde gelen triyaj yardımcı programlarından CSV çıkışını birleştirilmiş bir zaman çizelgesinde birleştirerek, analistleri olay dizilerini yeniden yapılandırmaya ve ana uzlaşmanın temel göstergelerini hızla tanımlamaları için güçlendirir.
Otomatik Zaman Çizelgesi İnşaatı
Edinilmiş güvenlik tarafından geliştirilen aracın temel özelliği, EZ araçları, Kape, Axiom, Chainsaw, Hayabusa ve Nirsoft tarafından üretilen CSV artefaktlarını keşfetme ve ayrıştırma yeteneğinde yatmaktadır. Analistler aracı bir temel dizine yönlendirir:
İnteraktif menü
Motor, yapılandırma/anahtar kelimeler/anahtar kelimelerde tanımlanan YAML güdümlü filtreleri uygular. V2.2’deki yeni interaktif geliştirmeler şunları içerir:
- Sessiz mod (–Silent), istemleri ve afişleri bastırmak için otomatik iş akışlarında başsız yürütmeyi kolaylaştırır.
- MFT zaman damgası filtrelerinin canlı olarak doğrulanmasına, olay-log kanalı/sağlayıcı kurallarının ve anahtar kelime etiketleme yapılandırmalarına izin vererek spectre.console tabloları olarak oluşturulan filtre önizlemeleri.
- Timeline Explorer (.tle_sess) için anahtar kelime etiketleme desteği: Etiketli olaylar, kullanıcı tanımlı anahtar kelime kümeleri tarafından gruplandırılır ve akış aşağı analizinde pivotu basitleştirir.
Bu araç özellikleri manuel çabayı azaltır ve büyük ölçekli koleksiyonlarda tekrarlanabilir, denetlenebilir işleme sağlar. Temel zaman çizelgesi harmanlamanın ötesinde, adli teneliner gelişmiş zenginleştirme ve ihracat seçenekleri sunar.
Zaman çizelgelerini olayın ilgi penceresine göre uyarlamak için tarih filtreleme (–StartDate, –endDate) ve tekilleştirme (–dduplicate).
Adli provenans için ham veri dahil edilmesi (–InDereAwdata), orijinal CSV satırlarını adli doğrulama için çıktıya yerleştirin.
YAML tanımları aracılığıyla yapılandırılabilir ayrıştırıcılar, artefakt CSV alanlarını standart bir zaman çizelgesi şemasına eşleme:
DATETIME | TIMESTAMPINFO | ArtifactName | Araç | Açıklama | DataDetails | DATAPATH | FileExtension | Eventid | Kullanıcı | Bilgisayar | Dosya boyutu | İPaddress | SHA1 | Sayım | Kanıtı.
Aracın RFC-4180 uyumlu CSV çıkışı, Excel, Zaman Çizelgesi Explorer ve diğer adli inceleme platformlarıyla sorunsuz uyumluluk sağlar. Analistler ayrıca SIEM’lerle ve günlük yönetim sistemleriyle entegrasyon için JSON veya JSONL formatlarında ihracat yapabilirler.
Özelleştirilebilir YAML parametreleri, istenmeyen MFT uzantılarının (varsayılan: .exe, .ps1, .zip, vb.) Ve yol filtrelerinin (varsayılan: kullanıcılar) hariç tutulmasına izin verirken, yerleşik olay log filtreleri kanal ve sağlayıcı kimliklerine göre gürültüyü kısıtlar.
Adli-Timeliner V2.2’nin interaktif kurulum, otomatik keşif ve anahtar sözcükle çalışan zenginleştirme karışımı, Windows adli zaman çizelgeleri oluşturulmada hız, hassasiyet ve tutarlılık arayan DFIR araştırmacıları için vazgeçilmez bir araç olarak konumlandırır.
Günlük siber güvenlik güncellemeleri için bizi Google News, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
