Python-forensics-compromise-indicators
提供:Dev Guides
Pythonフォレンジック-侵害の指標
侵害のインジケータ(IOC)は、「システムまたはネットワーク上の潜在的に悪意のあるアクティビティを識別する、システムログエントリまたはファイルで見つかったデータを含むフォレンジックデータの断片」として定義されます。
IOCを監視することにより、組織は攻撃を検出し、そのような侵害の発生を防ぐために迅速に行動するか、攻撃を初期段階で停止することで損害を制限できます。
いくつかのユースケースがあります。これにより、以下のようなフォレンジックアーティファクトのクエリが可能になります-
- MD5で特定のファイルを探す
- 実際にメモリに保存されている特定のエンティティを検索する
- Windowsレジストリに保存されている特定のエントリまたはエントリのセット
上記のすべての組み合わせにより、アーティファクトの検索結果が向上します。 前述のように、Windowsレジストリは、IOCの生成と保守に最適なプラットフォームを提供し、計算科学捜査に直接役立ちます。
方法論
- ファイルシステム内の場所、特に今のところWindowsレジストリを探します。
- フォレンジックツールによって設計されたアーティファクトのセットを検索します。
- 有害な活動の兆候を探します。
調査ライフサイクル
調査ライフサイクルはIOCに従い、レジストリ内の特定のエントリを検索します。
- ステージ1:初期証拠-ホストまたはネットワークで侵害の証拠が検出されます。 レスポンダーは、具体的なフォレンジックインジケーターである正確なソリューションを調査して特定します。
- ステージ2:ホストおよびネットワークのIOCの作成-収集されたデータに続いて、IOCが作成されます。これはWindowsレジストリで簡単に可能です。 OpenIOCの柔軟性により、インディケーターを作成する方法の順列の数に制限はありません。
- ステージ3:エンタープライズにIOCを展開-指定されたIOCが作成されると、調査員はWindowsレジスタのAPIを使用してこれらのテクノロジーを展開します。
- ステージ4:容疑者の特定-IOCの展開は、通常の方法で容疑者を特定するのに役立ちます。 追加のシステムも特定されます。
- ステージ5:証拠の収集と分析-容疑者に対する証拠が収集され、それに応じて分析されます。
- ステージ6:新しいIOCの調整と作成-調査チームは、企業で見つかった証拠とデータ、および追加のインテリジェンスに基づいて新しいIOCを作成し、引き続きサイクルを調整できます。
次の図は、調査ライフサイクルのフェーズを示しています-