Recopilación de información de puntos finales

1

¿Cuáles serían las mejores herramientas a utilizar para obtener información sobre una máquina / punto final? Por ejemplo:

Un punto final se infectó con un virus o malware, ¿cuál sería la mejor manera de obtener una instantánea histórica de la máquina (cuando se aprovisionó, se actualizó por última vez, etc.)? No tengo acceso físico al sistema. No quiero hacer análisis forenses, solo quiero obtener la mayor información posible sobre la máquina.

    
pregunta cyb3ard 14.11.2016 - 19:29
fuente

1 respuesta

1

Para Windows, Linux, macOS sin agentes instalados previamente (por ejemplo, agentes comerciales o gratuitos como SCCM, JAMF, osquery, LimaCharlie , FireEye HX, Crowdstrike Falcon, et al), saltaría a GRR o NBD. Para Windows, hay un proyecto NBD-Server que puede adjuntar cualquier memoria (a través de winpmem de GRR / Rekall) así como discos a los puertos TCP del servidor NBD. Para sistemas operativos Unix y Linux, es simplemente nbd-server, disponible como un paquete en la mayoría de las distribuciones (o puede compilarlo en una plataforma específica).

El cliente probablemente debería ser una máquina Linux y poder cargar el controlador NBD y usar el nbd-client desde el espacio de usuario con The SleuthKit y las herramientas de montaje del sistema de archivos. He usado CAINE Linux como el cliente NBD ya que contiene todas las herramientas necesarias (NB, otros prefieren SIFT, o a través de REGALO ). Luego puede usar plaso para adquirir artefactos. Para obtener una lista completa, consulte los formatos aquí, enlace , o consulte los indicadores --help y --info para Cada una de las herramientas de plaso. Una de las mejores maneras de trabajar en los casos y colaborar en los datos de la línea de tiempo es utilizar una herramienta como Google Timesketch .

En cierto modo, lo anterior sería ejecutar un análisis forense, pero todavía creo que es la mejor manera. Si desea correr alrededor de redes para operaciones de búsqueda, quizás visite Kansa o PowerForensics , pero ambos son específicos de Windows debido a su dependencia de PowerShell. CrowdStrike también tiene una maravillosa solución de software de código abierto (FOSS), Falcon Orchestrator , que está diseñada para su propósito: - Pero de nuevo, solo Windows específico. Lo mejor de NBD, pmem y plaso es que solo tiene que enseñar los conceptos a su personal una vez y se aplican igualmente a todas las plataformas.

    
respondido por el atdre 14.11.2016 - 20:18
fuente

Lea otras preguntas en las etiquetas