पायथन फोरेंसिक - समझौता के संकेतक

कंप्रोमाइज (IOC) के संकेतक को "फोरेंसिक डेटा के टुकड़ों के रूप में परिभाषित किया गया है, जिसमें सिस्टम लॉग प्रविष्टियों या फ़ाइलों में पाया गया डेटा शामिल है, जो सिस्टम या नेटवर्क पर संभावित दुर्भावनापूर्ण गतिविधि की पहचान करता है।"

आईओसी के लिए निगरानी करके, संगठन ऐसे हमलों का पता लगा सकते हैं और इस तरह के उल्लंघनों को रोकने के लिए जल्दी से कार्य कर सकते हैं या पहले चरण में हमलों को रोककर नुकसान को सीमित कर सकते हैं।

कुछ उपयोग-मामले हैं, जो फॉरेंसिक कलाकृतियों को क्वेरी करने की अनुमति देते हैं जैसे कि -

  • MD5 द्वारा एक विशिष्ट फ़ाइल की तलाश में
  • एक विशिष्ट इकाई की खोज करना, जो वास्तव में मेमोरी में संग्रहीत है
  • विशिष्ट प्रविष्टि या प्रविष्टियों का सेट, जो विंडोज रजिस्ट्री में संग्रहीत है

उपरोक्त सभी का संयोजन कलाकृतियों की खोज में बेहतर परिणाम प्रदान करता है। जैसा कि ऊपर उल्लेख किया गया है, विंडोज रजिस्ट्री आईओसी को बनाने और बनाए रखने में एक सही मंच देता है, जो सीधे कम्प्यूटेशनल फोरेंसिक में मदद करता है।

क्रियाविधि

  • फ़ाइल सिस्टम में स्थानों के लिए और विशेष रूप से अब Windows रजिस्ट्री में देखें।

  • कलाकृतियों के सेट की खोज करें, जिन्हें फ़ोरेंसिक टूल द्वारा डिज़ाइन किया गया है।

  • किसी भी प्रतिकूल गतिविधियों के संकेत के लिए देखो।

खोजी जीवन चक्र

खोजी जीवन चक्र IOC का अनुसरण करता है और यह एक रजिस्ट्री में विशिष्ट प्रविष्टियों की खोज करता है।

  • Stage 1: Initial Evidence- समझौते का साक्ष्य या तो मेजबान या नेटवर्क पर पाया जाता है। उत्तरदाता सटीक समाधान की जांच और पहचान करेंगे, जो एक ठोस फोरेंसिक संकेतक है।

  • Stage 2: Create IOCs for Host & Network- एकत्र किए गए डेटा के बाद, आईओसी बनाया जाता है, जो विंडोज रजिस्ट्री के साथ आसानी से संभव है। OpenIOC के लचीलेपन ने एक संकेतक को कैसे तैयार किया जा सकता है, इस पर असीमित संख्या में क्रमपरिवर्तन दिए हैं।

  • Stage 3: Deploy IOCs in the Enterprise - एक बार निर्दिष्ट आईओसी बन जाने के बाद, जांचकर्ता इन तकनीकों को विंडोज रजिस्टरों में एपीआई की मदद से तैनात करेगा।

  • Stage 4: Identification of Suspects- आईओसी की तैनाती से संदिग्धों की सामान्य तरीके से पहचान में मदद मिलती है। यहां तक ​​कि अतिरिक्त प्रणालियों की भी पहचान की जाएगी।

  • Stage 5: Collect and Analyze Evidence - संदिग्धों के खिलाफ सबूत इकट्ठा किए जाते हैं और उसी के अनुसार उनका विश्लेषण किया जाता है।

  • Stage 6: Refine & Create New IOCs - खोजी दल उद्यम और अतिरिक्त बुद्धिमत्ता में पाए गए अपने साक्ष्य और डेटा के आधार पर नए IOC बना सकते हैं और अपने चक्र को परिष्कृत करना जारी रख सकते हैं।

निम्नलिखित दृष्टांत खोजी जीवन चक्र के चरणों को दर्शाता है -