Быстрое реагирование на инциденты и сбор данных

В этой статье приведен практический пример того, как можно собирать данные за счет использования инструментов быстрого реагирования на инциденты. Все эти инструменты являются популярными утилитами в Интернете, ведь с их помощью пользователь может улучшить свои навыки кибер-криминалистики.

Реагирование на инциденты

• Реагирование на инциденты – это продуманная стратегия для обеспечения защиты от вредоносных событий, взломов и кибератак.
• ИК-план позволяет пользователю распознать и уменьшить вред и расходы, которые влечет за собой кибератака. Человек находит и фиксирует причину, по которой образовалась «дыра» в безопасности, для предотвращения будущих атак.

Сбор данных

• Сбор данных – это процесс безопасного сбора и последующей защиты электронной информации клиента ПК, рабочих станций, рабочих мест, облачных хранилищ, учетных записей электронной почты, планшетов, мобильных телефонов или КПК.

Live Response Collection-Cederpelta Build

Live Response Collection -cedarpelta – это автоматизированный инструмент ответов в реальном времени, который собирает изменчивые данные и создает дампы памяти. Эта утилита была создана компанией BriMor Labs.

Читатели могут скачать эту программу, перейдя по ссылке.

Ответы в реальном времени – это процесс, который контролирует сбор данных с работающего компьютера, чтобы определить, произошло ли событие. События включают в себя артефакты, например, списки процессов, информацию о соединениях, сохраненные файлы, информацию о реестре.

Инструмент доступен на операционных системах на базе Windows, OSX/mac OS и *nix. Он удобен в использовании, потому что понятно, что именно он делает.

Стоит понять, как работает этот инструмент.

Сбор ответов в режиме реального времени может быть выполнен с помощью следующих сценариев сбора данных:

• Secure-Complete: инструмент создаст дамп памяти, соберет постоянно изменяющуюся информацию, а также добавит образ диска. Вся собранная информация будет сжата и защищена паролем.
• Secure-Memory Dump: инструмент также создаст дамп памяти и соберет постоянно изменяющуюся информацию. Вся собранная информация будет сжата и защищена паролем.
• Secure-Triage: инструмент соберет только постоянно изменяющуюся информацию. Вся собранная информация будет сжата и защищена паролем.
• Complete: инструмент создаст дамп памяти, соберет постоянно изменяющуюся информацию, а также добавит образ диска.
• Memory dump: инструмент создаст дамп памяти и соберет постоянно изменяющуюся информацию.
• Triage: инструмент соберет только постоянно изменяющуюся информацию.

Процесс сбора данных начнется вскоре после того, как пользователь определится с нужным ему сценарием. Его выполнение может занять пару минут.

После завершения процесса будет создана папка с именем компьютера и датой. Она будет храниться там же, где и исполняемый файл.

Папка состоит из следующих данных, разделенных по разным группам.

Это всего лишь несколько записей, которые были собраны инструментом. Пользователь может проверить каждую папку отдельно в соответствии с его желаниями и нуждами. Собираются данные об оперативной памяти, информация о сети, основная системная информация, системные файлы, личная информация о пользователе и многое другое.

CDIR (Cyber Defense Institute Incident Response) Collector

CDIR (Cyber Defense Institute Incident Response) Collector – это инструмент для сбора данных операционной системы Windows. Инструмент был создан Институтом киберзащиты в Токио, Япония. Он собирает данные об оперативной памяти, информацию о реестре, данные NTFS, журналы событий, веб-историю.

Читатели могут скачать эту программу, перейдя по ссылке.

Стоит понять, как работает этот инструмент.

Есть три команды:

• инициировать процесс дампа памяти (1: ON);
• остановить процесс дампа памяти (2: OFF);
• выход из программы (0: EXIT).

После успешной установки инструмента пользователь выберет первую команду для создания дампа памяти. Эта команда должна инициировать сам процесс.

После завершения процесса будет создана папка с именем компьютера и датой. Она будет храниться там же, где и исполняемый файл.

Fast IR Collector

Fast IR Collector – это инструмент для проведения криминалистического анализа ОС Windows и Linux. Он собирает артефакты с работающей машины и записывает результаты в документ формата .csv или .json. на ОС Windows и Linux. Этот инструмент был создан компанией SekoiaLab.

Читатели могут скачать эту программу, перейдя по ссылке.

Стоит понять, как работает этот инструмент.

Пользователю просто нужно запустить исполняемый файл инструмента от имени администратора. Это автоматически запустит и процесс сбора данных.

Результаты будут храниться там же, где и исполняемый файл.

Panorama

Panorama – это инструмент, который быстро создает отчет об инцидентах, произошедших в системе Windows.

Читатели могут скачать эту программу, перейдя по ссылке.

Стоит понять, как работает этот инструмент:

• пользователь запускает программу panorama.exe в своей ОС;
• он выбирает пункт «Report», чтобы создать быстрый обзор инцидентов.

Браузер автоматически откроет отчет после завершения процесса.

Данные отчета распределяются по разным категориям, таким как система, сеть, USB, безопасность и другие.

Triage

Triage – это инструмент для реагирования на инциденты, который автоматически собирает информацию для операционной системы Windows. Triage-ir – это скрипт, написанный Michael Ahrendt.

Пользователь может выбрать данные, которые он хочет собрать, используя флажки, указанные под каждой вкладкой. Для выполнения Triage IR требуется особый инструмент – Sysinternals toolkit.

Читатели могут скачать эту программу, перейдя по ссылке.

Стоит понять, как работает этот инструмент:

• запустить исполняемый файл инструмента;
• выбрать вариант «Yes», когда появится приглашение добавить инструментарий Sysinternal Toolkit.

Пользователь нажмет на кнопку «Run» после выбора данных для сбора. Процесс сбора данных займет всего пару минут.

После завершения процесса будет создана папка с именем компьютера и датой. Она будет храниться там же, где и исполняемый файл.

IREC – IR Evidence Collector | Binalyze

IREC – это инструмент для сбора данных в кибер-криминалистике, который прост в использовании. Он универсальный и очень удобный, а также устойчивый к вредоносным программам. Этот инструмент был создан компанией Binalyze. Его платная версия также доступна для покупки.

Читатели могут скачать эту программу, перейдя по ссылке.

Стоит понять, как работает этот инструмент.

Пользователь может собирать данные двумя способами:

• Collect evidence: для углубленного расследования.
• RAM and Page file: только для исследования памяти.

В данном случае пользователь выбирает вариант «Collect evidence» для получения подробных доказательств. Следует нажать на кнопку «Start», чтобы двигаться дальше.

Процесс был начат после выбора профиля коллекции.

Процесс завершен. Пользователь может проанализировать данные, собранные в папке.

Выходные данные будут храниться в папке с именем “cases“, в которой после завершения процесса будет создана еще одна папка с именем компьютера и датой.

Ниже представлен HTML-отчет о сборе доказательств. HTML-отчет легко проанализировать, ведь собранные данные классифицируются по различным разделам. Пользователь также может создать PDF-файл полученного отчета.

DG Wingman

DG Wingman – это бесплатный инструмент Windows для сбора и анализа криминалистических артефактов. Он принадлежит компании DigitalGuardian. Этот инструмент собирает важные артефакты, такие как журналы реестра, системные журналы, историю браузера и многое другое. Также он позволяет выполнять команды в соответствии с нуждами пользователя.

Читатели могут скачать эту программу, перейдя по ссылке.

Стоит понять, как работает этот инструмент:

• запустить исполняемый файл инструмента;
• использовать команду «wingman.exe/h», которая покажет пользователю краткий список всех команд вместе с их возможностями.

Например, в случае инцидента пользователю нужно собрать журналы реестра. Он будет использовать команду:

wingman.exe -r

Все записи реестра собраны успешно.

Это прекрасные инструменты для быстрого реагирования на инциденты. Они ускоряют работу человека, чтобы тот быстро успевал реагировать на случившееся. Данные инструменты очень полезны, поскольку они облегчают как анализ данных, так и быстрое реагирование с помощью дополнительных функций.

Автор переведенной статьи: Vishva Vaghela.

ЧИТАТЬ ВСЕ СТАТЬИ НА САЙТЕ | ПОДПИСЫВАЙТЕСЬ НА НАШ TELEGRAM КАНАЛ