Raccolta di informazioni sugli endpoint

1

Quali sarebbero gli strumenti migliori da utilizzare per ottenere informazioni su una macchina / endpoint. Ad esempio:

Un endpoint è stato infettato da virus o malware, quale sarebbe il modo migliore per ottenere un'istantanea storica della macchina (quando è stata fornita, aggiornata l'ultima volta, ecc.)? Non ho accesso fisico al sistema. Non voglio eseguire analisi forensi, voglio solo ottenere il maggior numero possibile di informazioni sulla macchina.

    
posta cyb3ard 14.11.2016 - 19:29
fonte

1 risposta

1

Per Windows, Linux, macOS senza agenti precedentemente installati (ad esempio, agenti gratuiti o commerciali come SCCM, JAMF, osquery, LimaCharlie , FireEye HX, Crowdstrike Falcon e altri), vorrei passare a GRR o NBD. Per Windows, esiste un progetto NBD-Server che può allegare una memoria (tramite winmem di GRR / Rekall) così come i dischi alle porte TCP del server NBD. Per i sistemi operativi Unix e Linux, è semplicemente nbd-server, disponibile come pacchetto sulla maggior parte delle distribuzioni (oppure è possibile compilarlo su una piattaforma specifica).

Il client dovrebbe probabilmente essere una macchina Linux ed essere in grado di caricare il driver NBD e usare nbd-client dallo spazio utente con gli strumenti di montaggio SleuthKit e filesystem. Ho usato CAINE Linux come client NBD in quanto contiene tutti gli strumenti necessari (NB, altri preferiscono SIFT o tramite GIFT). Puoi quindi utilizzare plaso per acquisire artefatti. Per un elenco completo, consulta i formati qui: link oppure controlla i flag --help e --info per ciascuno degli strumenti di Plaso. Uno dei modi migliori per lavorare sui casi e collaborare sui dati cronologici è utilizzare uno strumento come Google Timesketch .

In un certo senso, sopra ci sarebbe in corso la scientifica, ma continuo a pensare che sia il modo migliore. Se vuoi correre in giro per le reti per operazioni di caccia, consulta Kansa o PowerForensics , ma entrambi sono specifici di Windows a causa della loro dipendenza da PowerShell. CrowdStrike ha anche una fantastica soluzione di software open source (FOSS), Falcon Orchestrator , che è costruita per il tuo scopo - - ma ancora, solo per Windows specifici. La cosa più bella di NBD, pmem e plaso è che devi solo insegnare i concetti al tuo staff una volta e si applicano ugualmente bene a tutte le piattaforme.

    
risposta data 14.11.2016 - 20:18
fonte

Leggi altre domande sui tag