Python Forensics - Uzlaşma Göstergeleri

Tehlike Göstergeleri (IOC), "sistem günlük girişlerinde veya dosyalarında bulunan ve bir sistem veya ağdaki olası kötü niyetli etkinlikleri tanımlayan verileri içeren adli veri parçaları" olarak tanımlanır.

Kuruluşlar, IOC'yi izleyerek saldırıları tespit edebilir ve bu tür ihlallerin meydana gelmesini önlemek için hızlı hareket edebilir veya saldırıları daha önceki aşamalarda durdurarak zararları sınırlayabilir.

Adli eserlerin sorgulanmasına izin veren bazı kullanım durumları vardır, örneğin:

  • MD5'e göre belirli bir dosya aranıyor
  • Aslında bellekte depolanan belirli bir varlığı arama
  • Windows kayıt defterinde depolanan belirli girdi veya girdi kümesi

Yukarıdakilerin tümünün kombinasyonu, yapay nesnelerin aranmasında daha iyi sonuçlar sağlar. Yukarıda belirtildiği gibi, Windows kayıt defteri, IOC oluşturmada ve sürdürmede, adli bilişimde doğrudan yardımcı olan mükemmel bir platform sağlar.

Metodoloji

  • Dosya sistemindeki ve özellikle şimdilik Windows kayıt defterindeki konumları arayın.

  • Adli tıp araçlarıyla tasarlanmış eserleri arayın.

  • Olumsuz aktivitelerin belirtilerini arayın.

Araştırmacı Yaşam Döngüsü

Investigative Life Cycle, IOC'yi takip eder ve bir kayıt defterindeki belirli girdileri arar.

  • Stage 1: Initial Evidence- Uzlaşmanın kanıtı bir ana bilgisayarda veya ağda tespit edilir. Müdahale ekipleri somut bir adli gösterge olan kesin çözümü araştıracak ve belirleyecektir.

  • Stage 2: Create IOCs for Host & Network- Toplanan verileri takiben, IOC oluşturulur ve bu, Windows kayıt defteri ile kolayca mümkündür. OpenIOC'nin esnekliği, bir Göstergenin nasıl üretilebileceğine dair sınırsız sayıda permütasyon sağlar.

  • Stage 3: Deploy IOCs in the Enterprise - Belirtilen IOC oluşturulduktan sonra, araştırmacı bu teknolojileri Windows kayıtlarındaki API yardımıyla dağıtacaktır.

  • Stage 4: Identification of Suspects- IOC'nin konuşlandırılması, şüphelilerin normal bir şekilde tespit edilmesine yardımcı olur. Ek sistemler bile tanımlanacaktır.

  • Stage 5: Collect and Analyze Evidence - Şüphelilerin aleyhine deliller toplanır ve buna göre analiz edilir.

  • Stage 6: Refine & Create New IOCs - Araştırma ekibi, kuruluşta bulunan kanıtlara ve verilere ve ek istihbarata dayanarak yeni IOC'ler oluşturabilir ve döngülerini iyileştirmeye devam edebilir.

Aşağıdaki çizim, Araştırma Yaşam Döngüsü aşamalarını göstermektedir -

ja/tutorial
es/tutorial
de/tutorial
fr/tutorial
th/tutorial
pt/tutorial
ru/tutorial
vi/tutorial
it/tutorial
ko/tutorial
tr/tutorial
id/tutorial
pl/tutorial
hi/tutorial
japost
espost
depost
frpost
thpost
ptpost
rupost
vipost
itpost
kopost
trpost
idpost
plpost
hipost

© Copyright 2021 - 2024 | All Rights Reserved