Pythonフォレンジック-侵害の指標

侵害のインジケータ（IOC）は、「システムまたはネットワーク上の潜在的に悪意のあるアクティビティを識別する、システムログエントリまたはファイルで見つかったデータを含むフォレンジックデータの断片」として定義されます。

IOCを監視することにより、組織は攻撃を検出し、そのような侵害の発生を防ぐために迅速に行動するか、攻撃を初期段階で停止することで損害を制限できます。

いくつかのユースケースがあります。これにより、以下のようなフォレンジックアーティファクトのクエリが可能になります-

上記のすべての組み合わせにより、アーティファクトの検索結果が向上します。前述のように、Windowsレジストリは、IOCの生成と保守に最適なプラットフォームを提供し、計算科学捜査に直接役立ちます。

方法論

調査ライフサイクルはIOCに従い、レジストリ内の特定のエントリを検索します。

ステージ1：初期証拠-ホストまたはネットワークで侵害の証拠が検出されます。レスポンダーは、具体的なフォレンジックインジケーターである正確なソリューションを調査して特定します。
ステージ2：ホストおよびネットワークのIOCの作成-収集されたデータに続いて、IOCが作成されます。これはWindowsレジストリで簡単に可能です。 OpenIOCの柔軟性により、インディケーターを作成する方法の順列の数に制限はありません。
ステージ3：エンタープライズにIOCを展開-指定されたIOCが作成されると、調査員はWindowsレジスタのAPIを使用してこれらのテクノロジーを展開します。
ステージ4：容疑者の特定-IOCの展開は、通常の方法で容疑者を特定するのに役立ちます。追加のシステムも特定されます。
ステージ5：証拠の収集と分析-容疑者に対する証拠が収集され、それに応じて分析されます。
ステージ6：新しいIOCの調整と作成-調査チームは、企業で見つかった証拠とデータ、および追加のインテリジェンスに基づいて新しいIOCを作成し、引き続きサイクルを調整できます。

次の図は、調査ライフサイクルのフェーズを示しています-