Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.

Razlike

Slijede razlike između dviju inačica stranice.

Poveznica na ovu usporedbu

Starije izmjene na obje strane Starija izmjena
Novija izmjena 		Starija izmjena
racfor_wiki:pregled_alata_redline [2020/12/30 14:05]
msego [Literatura] 		racfor_wiki:pregled_alata_redline [2024/12/05 12:24] (trenutno)
Redak 9: Redak 9:
 ===== Uvod ===== ===== Uvod =====
 Alat Redline je forenzička programska podrška koja je proizvod tvrtke RedEye. Alat je besplatan i omogućava korisnicima da lakše pronađu znakove zloćudnih aktivnosti na krajnjem računalu. Podržava: Alat Redline je forenzička programska podrška koja je proizvod tvrtke RedEye. Alat je besplatan i omogućava korisnicima da lakše pronađu znakove zloćudnih aktivnosti na krajnjem računalu. Podržava:
-  * Element obične listeElement obične listeAnalizu memorije i datoteka +  * Analizu memorije i datoteka 
-  * Element obične listeStvaranje profila za procjenu prijetnji+  * Stvaranje profila za procjenu prijetnji
   * Revizija i prikupljanje svih pokrenutih procesa iz memorije, metapodataka datotečnog sustava, podataka registra (Windows), dnevnika događaja, mrežnih informacija, pokrenutih servisa i povijesti pretraživanja.   * Revizija i prikupljanje svih pokrenutih procesa iz memorije, metapodataka datotečnog sustava, podataka registra (Windows), dnevnika događaja, mrežnih informacija, pokrenutih servisa i povijesti pretraživanja.
-  * Element obične listeAnaliza i pregled uvezenih podataka s mogućnošću filtriranja po vremenskim trenutcima/intervalima. +  * Analiza i pregled uvezenih podataka s mogućnošću filtriranja po vremenskim trenutcima/intervalima. 
-  * Element obične listeAnaliza po „pokazateljima kompromitiranosti“ (engl. Indicators of Compromise - IOC) na Windows platformi.+  * Analiza po „pokazateljima kompromitiranosti“ (engl. Indicators of Compromise - IOC) na Windows platformi.
  
 ===== Pokazatelji kompromitiranosti ===== ===== Pokazatelji kompromitiranosti =====
  
-Indicator of Compromise – IOC je jedna ili više karakteristika koje ukazuju na prisutstvo ili izvršavanje specifičnog malicioznog procesa ili korištenje poznatih napadačkih metodologija. Oni su forenzički artefakti sistemskog upada, a stvaraju se prema [[http://openioc.org/|postojećem standardu]]. To mogu biti tradicionalni forenzički objekti kao što su MD5 sažetci, naziv datoteke, veličina datoteke, putanja/lokacija datoteke, ključevi iz registra. Najbolji pokazatelji kompromitiranosti imaju sljedeća svojstva:+Indicator of Compromise – IOC je jedna ili više karakteristika koje ukazuju na prisustvo ili izvršavanje specifičnog malicioznog procesa ili korištenje poznatih napadačkih metodologija. Oni su forenzički artefakti sistemskog upada, a stvaraju se prema [[http://openioc.org/|postojećem standardu]]. To mogu biti tradicionalni forenzički objekti kao što su MD5 sažetci, naziv datoteke, veličina datoteke, putanja/lokacija datoteke, ključevi iz registra. Najbolji pokazatelji kompromitiranosti imaju sljedeća svojstva:
   * Identificiraju samo napadačevu aktivnost.   * Identificiraju samo napadačevu aktivnost.
   * Nisu „skupi“ za procjenu. Tipično su jednostavni i procjenjuju informaciju koju nije teško prikupiti ili proizvesti.   * Nisu „skupi“ za procjenu. Tipično su jednostavni i procjenjuju informaciju koju nije teško prikupiti ili proizvesti.
Redak 28: Redak 28:
   * Broj pokazatelja koji su generirali podudaranja   * Broj pokazatelja koji su generirali podudaranja
   * Lokaciju izvješća   * Lokaciju izvješća
 +
 +==== Redline Istraga ====
 +
 +Alat Redline omogućuje i posebnu vrstu istrage ako se koriste IOC-i. Alat nakon prikupljenih informacija prikazuje sva podudaranja s konfiguriranim IOC-ima. Kod pregledavanja rezultata analize alat omogućuje:
 +  * Pregled u tablici s detaljima
 +  * Korištenje oznaka i komentara
 +  * Pretraživanje
 +  * Filtriranje znanog normalnog materijala pomoću prilagodljive liste
 +  * Filtriranje po vremenu
 +  * Dohvaćanje procesa
 +  * Direktno pretraživanje interneta za više informacija
 +  * Izvoz informacija u CSV datoteku
 +
  
 ===== Prikupljanje informacija ===== ===== Prikupljanje informacija =====
Redak 33: Redak 46:
 Za korištenje Redline alata potrebno je prikupiti ili koristiti već prikupljene informacije. Prikupljanje informacija se ostvaruje pomoću "Redline Collector-a" kojeg generira sam alat Redline nakon konfiguriranja koje informacije se žele prikupiti. Za korištenje Redline alata potrebno je prikupiti ili koristiti već prikupljene informacije. Prikupljanje informacija se ostvaruje pomoću "Redline Collector-a" kojeg generira sam alat Redline nakon konfiguriranja koje informacije se žele prikupiti.
  
-Sam alat Redline koji služi za analizu prikupljenih informacija treuntno je podržan na ovim operacijskim sustavima:+Sam alat Redline koji služi za analizu prikupljenih informacija trenutno je podržan na ovim operacijskim sustavima:
   * Windows 10 (32/64 bit)   * Windows 10 (32/64 bit)
   * Windows 8x (32/64 bit)   * Windows 8x (32/64 bit)
Redak 71: Redak 84:
   * Pretraga „pokazatelja kompromitiranosti“ (Indicators of Compromise – IOC) – Collector samo za Windows platformu koji omogućuje prikupljanje onih podataka koji su povezani s određenim IOC-ima. Korisno kad želimo prikupiti informacije samo o točno odabranim IOC-ima npr. tragovi nekog malware-a.   * Pretraga „pokazatelja kompromitiranosti“ (Indicators of Compromise – IOC) – Collector samo za Windows platformu koji omogućuje prikupljanje onih podataka koji su povezani s određenim IOC-ima. Korisno kad želimo prikupiti informacije samo o točno odabranim IOC-ima npr. tragovi nekog malware-a.
  
-Ovisno o tome što se odabere prikupljanje informacija može biti završeno vrlo kratko skoro trenutno ili može trajati satima ćak i danima.+Ovisno o tome što se odabere prikupljanje informacija može biti završeno vrlo kratko skoro trenutno ili može trajati satima čak i danima.
  
 {{ :racfor_wiki:capture.png?400 | Primjer odabiranja podataka o trajnoj memoriji.}} {{ :racfor_wiki:capture.png?400 | Primjer odabiranja podataka o trajnoj memoriji.}}
Redak 157: Redak 170:
   * Trenutak obilježavanja stranice   * Trenutak obilježavanja stranice
  
-U alatu redline kroz ove informacije se može filtrirati po:+U alatu Redline kroz ove informacije se može filtrirati po:
   * Preusmjerenim pretraživanjima   * Preusmjerenim pretraživanjima
   * Prethodnoj stranici   * Prethodnoj stranici
Redak 180: Redak 193:
   * Naziv i putanja datoteke   * Naziv i putanja datoteke
  
-U alatu Redline kolačiće se može filtirati po:+U alatu Redline kolačiće se može filtrirati po:
   * HTTPS oznaka   * HTTPS oznaka
   * HTTP oznak   * HTTP oznak
Redak 220: Redak 233:
   * Ručno preuzimanje, svako preuzimanje koje je direktno pokrenuo korisnik   * Ručno preuzimanje, svako preuzimanje koje je direktno pokrenuo korisnik
   * Spremanja na nestandardne lokacije (Windows)   * Spremanja na nestandardne lokacije (Windows)
-  * Dostupno potpuno HTTP zaglavlje, prilikom preuzimanja datoteke sačuavano je kompletno HTTP zaglavlje+  * Dostupno potpuno HTTP zaglavlje, prilikom preuzimanja datoteke sačuvano je kompletno HTTP zaglavlje
   * Veće od 20 kb   * Veće od 20 kb
   * Nezavršeno   * Nezavršeno
Redak 232: Redak 245:
  
  
-===== Poglavlje 3 =====+===== Korištenje ===== 
 + 
 +Redline nudi razne mogućnosti različitog korištenja prilagođenog različitim situacijama. Ovdje ćemo prikazati dva najčešća. 
 + 
 +Prvi slučaj ispituje i provodi istragu nad jednim odredišnim računalom prikazano na slici ispod. Provodi se u nekoliko koraka: 
 +  - Stvaranje Redline Collector-a iz alata Redline 
 +  - Prijenos Redline Collector-a na odredišno računalo 
 +  - Pokretanje Redline Collector-a na odredišnom računalu 
 +  - Prijenos Redline Collector-a na računalo za analizu (s alatom Redline) 
 +  - Uvoz prikupljenih podataka u alat Redline i analiza 
 + 
 +{{ :racfor_wiki:redline_usage1.png?400 |}} 
 + 
 +Drugi slučaj ispituje više računala u organizaciji za koje se sumnja da su bili meta jednog ili više poznatih malicioznih napada. Provodi se u nekoliko koraka: 
 +  - Pronalazak postojećih IOC-a za tu vrstu napada ili stvaranje vlastitog IOC-a 
 +  - Stvaranje Redline IOC Collector-a iz alata Redline s odabranim IOC-ima 
 +  - Prijenos Redline IOC Collector-a na odredišno računalo (za svako odredišno računalo) 
 +  - Pokretanje Redline IOC Collector-a na odredišnom računalu (za svako odredišno računalo) 
 +  - Prijenos svih generiranih revizija Redline IOC Collector-a (sa svakog računala zajedno) na računalo za analizu (s alatom Redline)
  
-===== Poglavlje ... =====+{{ :racfor_wiki:redline_usage2.png?400 |}}
  
 ===== Zaključak ===== ===== Zaključak =====
  
 +Alat Redline je alat dostupan svima jer je besplatan i namijenjen je svim korisnicima, a ne samo forenzičarima. Alat Pomaže u prikupljanju i obradi informacija o napadnutim računalima. Alat je u vlasništvu tvrtke FireEye koja je najavila kontinuirani razvoj proizvoda, a nudi i druge proizvode (neke besplatne) koji komplementiraju ovaj. Dodatne informacije se mogu pronaći u navedenoj literaturi i na stranicama tvrtke FireEye.
 ===== Literatura ===== ===== Literatura =====
  
racfor_wiki/pregled_alata_redline.1609337104.txt.gz · Zadnja izmjena: 2024/12/05 12:23 (vanjsko uređivanje)
Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
CC Attribution-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0