Uma das ferramentas mais utilizadas pelo time de Digital Forensics and Incident Response (DFIR) é uma das muitas ferramentas para forense criadas pelo mestre Eric Zimmerman um ex-agente especial do Federal Bureau of Investigation (FBI) e professor do curso FOR508: Advanced Incident Response, Threat Hunting, and Digital Forensics no Instituto SANS.
🌐 https://ericzimmerman.github.io/#!index.md
Entre muitas ferramentas, vou explicar como eu uso a solução Timeline Explorer, que pode ajudar não somente na pericia forense como na analise de Malware como explicado no artigo da SOC Investigation.
Analisando eventos do Windows
Primeiro passo é exportar o arquivo de log do Windows ou copiar do diretório (C:\Windows\System32\winevt\Logs) no qual você quer fazer analise. No meu exemplo usarei o log de segurança (Security.evtx).
Em seguida vamos precisar padronizar o evento usando uma solução também do EZ (Eric Zimmerman) chamada EvtxECmd. Podemos com a ferramenta incluir e/ou excluir eventos, além de escolher um intervalo de datas e outros parâmetros. No meu exemplo não farei nenhuma configuração.
Baixe o EvtxECmd e Timeline Explorer
O EvtxECmd é um analisador de log de eventos (evtx) com saída CSV, XML e JSON padronizada!
EvtxECmd.exe -f "C:\DFIR\EVENTOS\Security.evtx" --csv "c:\DFIR\OUTPUT" --csvf SecurityOutput.csv
Agora podemos abrir o Timeline Explorer e importar o arquivo .csv padronizado “SecurityOutput.csv“.
Antes eu recomendo acessar o menu Tools e fazer os ajustes personalizados de cores, de formato de data e hora.
Agora que temos os eventos importados na ferramenta podemos começar a pesquisar. Note que por padrão eles estão organizados por “tempo”
Uma das maiores vantagens é a capacidade de agrupamento de títulos, como por exemplo data, Event Id, User. computer, etc.
Outra vantagem é a busca simplificada em cada campo desejado pois podemos fazer o uso de “operadores” no exemplo abaixo fiz apenas uma busca básica usando a expressão “Contains” e o nome do executável na coluna desejada.
Do mesmo modo que podemos fazer no Excel (Escrevi iniciando em letra maiúscula para não tomar bronca do mestre Benito Savastano) podemos fazer um filtro na coluna simplesmente clicando no pequenino ícone que representa um funil.
Os eventos terão muitas colunas e você pode oculta-las clicando em “Column Chooser” e em seguida arrastando as colunas ou dando um duplo clique no nome da coluna que não quer ter no momento. Para restaurar é o mesmo processo, duplo clique na coluna que está na caixa de customização.
Happy hunting!
Seja o primeiro a comentar