Per Windows, Linux, macOS senza agenti precedentemente installati (ad esempio, agenti gratuiti o commerciali come SCCM, JAMF, osquery, LimaCharlie , FireEye HX, Crowdstrike Falcon e altri), vorrei passare a GRR o NBD. Per Windows, esiste un progetto NBD-Server che può allegare una memoria (tramite winmem di GRR / Rekall) così come i dischi alle porte TCP del server NBD. Per i sistemi operativi Unix e Linux, è semplicemente nbd-server, disponibile come pacchetto sulla maggior parte delle distribuzioni (oppure è possibile compilarlo su una piattaforma specifica).
Il client dovrebbe probabilmente essere una macchina Linux ed essere in grado di caricare il driver NBD e usare nbd-client dallo spazio utente con gli strumenti di montaggio SleuthKit e filesystem. Ho usato CAINE Linux come client NBD in quanto contiene tutti gli strumenti necessari (NB, altri preferiscono SIFT o tramite GIFT). Puoi quindi utilizzare plaso per acquisire artefatti. Per un elenco completo, consulta i formati qui: link oppure controlla i flag --help
e --info
per ciascuno degli strumenti di Plaso. Uno dei modi migliori per lavorare sui casi e collaborare sui dati cronologici è utilizzare uno strumento come Google Timesketch .
In un certo senso, sopra ci sarebbe in corso la scientifica, ma continuo a pensare che sia il modo migliore. Se vuoi correre in giro per le reti per operazioni di caccia, consulta Kansa o PowerForensics , ma entrambi sono specifici di Windows a causa della loro dipendenza da PowerShell. CrowdStrike ha anche una fantastica soluzione di software open source (FOSS), Falcon Orchestrator , che è costruita per il tuo scopo - - ma ancora, solo per Windows specifici. La cosa più bella di NBD, pmem e plaso è che devi solo insegnare i concetti al tuo staff una volta e si applicano ugualmente bene a tutte le piattaforme.