Para Windows, Linux, macOS sin agentes instalados previamente (por ejemplo, agentes comerciales o gratuitos como SCCM, JAMF, osquery, LimaCharlie , FireEye HX, Crowdstrike Falcon, et al), saltaría a GRR o NBD. Para Windows, hay un proyecto NBD-Server que puede adjuntar cualquier memoria (a través de winpmem de GRR / Rekall) así como discos a los puertos TCP del servidor NBD. Para sistemas operativos Unix y Linux, es simplemente nbd-server, disponible como un paquete en la mayoría de las distribuciones (o puede compilarlo en una plataforma específica).
El cliente probablemente debería ser una máquina Linux y poder cargar el controlador NBD y usar el nbd-client desde el espacio de usuario con The SleuthKit y las herramientas de montaje del sistema de archivos. He usado CAINE Linux como el cliente NBD ya que contiene todas las herramientas necesarias (NB, otros prefieren SIFT, o a través de REGALO ). Luego puede usar plaso para adquirir artefactos. Para obtener una lista completa, consulte los formatos aquí, enlace , o consulte los indicadores --help
y --info
para Cada una de las herramientas de plaso. Una de las mejores maneras de trabajar en los casos y colaborar en los datos de la línea de tiempo es utilizar una herramienta como Google Timesketch .
En cierto modo, lo anterior sería ejecutar un análisis forense, pero todavía creo que es la mejor manera. Si desea correr alrededor de redes para operaciones de búsqueda, quizás visite Kansa o PowerForensics , pero ambos son específicos de Windows debido a su dependencia de PowerShell. CrowdStrike también tiene una maravillosa solución de software de código abierto (FOSS), Falcon Orchestrator , que está diseñada para su propósito: - Pero de nuevo, solo Windows específico. Lo mejor de NBD, pmem y plaso es que solo tiene que enseñar los conceptos a su personal una vez y se aplican igualmente a todas las plataformas.