Windowsイベントビューア以外のインシデントレスポンスアプローチの代替ルート?
ハッキングされたコンピューター(マルウェアはインストールされておらず、システムハックのみ)のインシデント対応計画を作成する準備をしています。私の計画は、Windowsイベントビューアで分析して、マシンの異常な動作を検出しようとすることです。
ただし、ハッカーがログファイルの内容を変更したか、時間を変更した場合、Windowsイベントビューア以外のIRPを開発するための代替ルートは何ですか?
私はかつて同様のタスクを持っていて、 Nirsoft Mega Report を見つけました。 NirSoft ユーティリティのいくつかを組み合わせています。単一のレポートはたくさんありますが、完全なタイムラインではないので、あまり役に立ちませんでした。
2014年の終わりに、私はNirSoftツールを使用して無人モードで実行し、XMLにエクスポートすることで、自分でそれを実現しようとしました。そのために私が検討したツールは
- AppCrashView(おそらく誰かがアプリケーションのバグを悪用しようとした)
- JumpListsView(最後に何が行われたかを確認)
- RecentFilesView(最後に使用されたファイル)
- UserAssistView
- BlueScreenView(おそらくカーネルの悪用がブルースクリーンを引き起こした)
- FirefoxDownloadsView(たぶんいくつかのマルウェアがそこから来た)
- LastActivityView(最後に何が行われたかを確認)
- ShellBagsView
- WinLogOnView(ログオンしたユーザー)
- BrowsingHistoryView
- FlashCookiesView
- MozillaCacheView
- SkypeLogView
- WinPrefetchView
- DevManView(デバイスが接続されていた)
- IECacheView
- MyEventViewer(Windowsイベントビューアと同様)
- TurnedOnTimesView
- ImageCacheViewer
- myuninst
- USBDeview(デバイスが接続されていた)
これらすべてのXMLから、完全なタイムラインを構築しようとしました。私は「試した」と言います、なぜなら
- XMLが常に整形式であるとは限らないことがわかりました。バグとして報告しましたが、修正されたかどうかは通知されませんでした。
- すべてのツールがXMLエクスポートを提供するわけではありません
それでも、これらすべてのレポートが役立つ場合があります。
法医学的なことを行う場合は、次の基本的なルールを考慮してください。
- 法医学的に健全な方法で画像を取得する
- その画像のコピーでのみ機能します。元のファイルに取り組んだり、(ステップ1の)法医学的に健全な画像に取り組んだりしないでください。