Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.

Razlike

Slijede razlike između dviju inačica stranice.

Poveznica na ovu usporedbu

Starije izmjene na obje strane Starija izmjena
Novija izmjena 		Starija izmjena
racfor_wiki:alati:analiza_alata_google_rapid_response [2019/12/31 00:37]
akukolja [Literatura] 		racfor_wiki:alati:analiza_alata_google_rapid_response [2024/12/05 12:24] (trenutno)
Redak 14: Redak 14:
 =====   Arhitektura   ===== =====   Arhitektura   =====
  
-Dvije vršne komponente GRR radnog okvira su GRR poslužitelj i GRR klijent. Oboje su implementirani u programskom jeziku Python. Jedan poslužitelj odgovoran je za skup klijenata koji su se na njega registrirali. On djeluje kao centralna točka upravljanja. Svaki klijent periodički se javlja poslužitelju koji je za njega odgovoran i od njega preuzima zadatke. Po izvršenju zadataka rezultate dojavljuje poslužitelju. Rezultati zadataka su u većini slučajeva kopije ili popisi datoteka koji se skupljaju na poslužitelju radi forenzičke analize. Klijent instaliran na računal ima [[https://en.wikipedia.org/wiki/Superuser|administratorski]] pristup resursima tog računala, tj. direktan pristup [[https://en.wikipedia.org/wiki/Computer_data_storage#Primary_storage|primarnoj]] i [[https://en.wikipedia.org/wiki/Computer_data_storage#Secondary_storage|sekundarnoj]] memoriji (RAM i disk), povezanim uređajima, itd. Kako bi se smanjilo opterećenje poslužitelja klijenti sadrže alate poput [[https://github.com/volatilityfoundation/volatility|Volatility Framework]]-a i [[https://www.sleuthkit.org/|TSK]]-a kako bi pomoću njih izvršili analizu i poslužitelju poslali samo rezultate. GRR poslužitelj osim sustava za podjelu zadataka implementira grafičko sučelje. Grafičko sučelje namijenjeno je forenzičarima  i omogućuje dodjeljivanje zadataka klijentima, pregled završenih analiza, itd. +Dvije vršne komponente GRR radnog okvira su GRR poslužitelj i GRR klijent. Oboje su implementirani u programskom jeziku Python. Jedan poslužitelj odgovoran je za skup klijenata koji su se na njega registrirali. On djeluje kao centralna točka upravljanja. Svaki klijent periodički se javlja poslužitelju koji je za njega odgovoran i od njega preuzima zadatke. Po izvršenju zadataka rezultate dojavljuje poslužitelju. Rezultati zadataka su u većini slučajeva kopije ili popisi datoteka koji se skupljaju na poslužitelju radi forenzičke analize. Klijent instaliran na računalo ima [[https://en.wikipedia.org/wiki/Superuser|administratorski]] pristup resursima tog računala, tj. direktan pristup [[https://en.wikipedia.org/wiki/Computer_data_storage#Primary_storage|primarnoj]] i [[https://en.wikipedia.org/wiki/Computer_data_storage#Secondary_storage|sekundarnoj]] memoriji (RAM i disk), povezanim uređajima, itd. Kako bi se smanjilo opterećenje poslužitelja klijenti sadrže alate poput [[https://github.com/volatilityfoundation/volatility|Volatility Framework]]-a i [[https://www.sleuthkit.org/|TSK]]-a kako bi pomoću njih izvršili analizu i poslužitelju poslali samo rezultate. GRR poslužitelj osim sustava za podjelu zadataka implementira grafičko sučelje. Grafičko sučelje namijenjeno je forenzičarima  i omogućuje dodjeljivanje zadataka klijentima, pregled završenih analiza, itd. 
  
 ==== Poslužitelj ==== ==== Poslužitelj ====
Redak 120: Redak 120:
 ==== Pokretanje tokova ==== ==== Pokretanje tokova ====
  
-Za demonstraciju primjene toka odabran je ArtifactCollectionFlow iz kategorije Collectors. Taj tok kao argument prima listu artefakata. Ovisno o informacijama koje poslužitelj ima (o klijentu na kojem će se tok pokrenuti) transformirat će puteve i nazive datoteka iz artefakta i zatražiti od klijenta da prenese informacije poslužitelju. Osim naziva i puteva do datoteka moguće je definirati uvjete koje datoteka mora zadovoljiti da bi se našla u rezultatu toka. Neki od tih uvjeta su veličina datoteke ili postojanje uzorka u nazivu ili sadržaju datoteke, itd. ArtifactCollectionFlow će uvjete provjeravati na poslužitelju. U slučaju da takav pristup generira pre velik mrežni promet možemo koristiti ClientArtifactCollector koji će zadatak provjere uvjeta prenijeti na klijenta. Mana takvog pristupa je da poslužitelj neće znati postoje da postoje datoteke koje odgovaraju artefaktu kojeg tražimo ali ne zadovoljavaju neki uvjet.+Za demonstraciju primjene toka odabran je ArtifactCollectionFlow iz kategorije Collectors. Taj tok kao argument prima listu artefakata. Ovisno o informacijama koje poslužitelj ima (o klijentu na kojem će se tok pokrenuti) transformirat će puteve i nazive datoteka iz artefakta i zatražiti od klijenta da prenese informacije poslužitelju. Osim naziva i puteva do datoteka moguće je definirati uvjete koje datoteka mora zadovoljiti da bi se našla u rezultatu toka. Neki od tih uvjeta su veličina datoteke ili postojanje uzorka u nazivu ili sadržaju datoteke, itd. ArtifactCollectionFlow će uvjete provjeravati na poslužitelju. U slučaju da takav pristup generira pre velik mrežni promet možemo koristiti ClientArtifactCollector koji će zadatak provjere uvjeta prenijeti na klijenta. Mana takvog pristupa je da poslužitelj neće znati da postoje datoteke koje odgovaraju artefaktu kojeg tražimo ali ne zadovoljavaju neki uvjet.
  
 {{ :racfor_wiki:alati:artefakti.png?600 |}} {{ :racfor_wiki:alati:artefakti.png?600 |}}
  
-Novi tok možemo pokrenuti tako da kroz tražilicu nađemo željenog klijenta i otvorimo stranicu s njegovim detaljima. S lijeve strane prozora ažurirat će se meni s novim opcijama specifičnim za tog klijena (slika). Klikom na Start new flows(1) otvara se prozor prikazan na slici. U lijevom dijelu novonastalog prozora nalazi se lista s kategorijama tokova koje možemo pokrenuti. Odabiremo tok ArtifactCollectonFlow(2) iz kategorije Collectors. U sredini prozora otvara se meni s argumentima(3) koje možemo zadati tom toku. Iz liste instaliranih artefakata odabiremo artefakte FirefoxHistory i LinuxLogFiles. Odmah ispod liste artefakata nalaze se dodatne opcije za svaki tok. Najzanimljivija od njih je Use tsk. Ako ju odaberemo klijent će pokušati naći artefakte primjenom TSK alata. Tu bi opciju odabrali ako postoji sumnja da je korisnik pokušao ukloniti povijest pretraživanja preglednika. U našem slučaju nećemo odabrati tu opciju. Nakon što smo odabrali sve opcije na dnu prozora pritiskom na Launch” pokrećemo tok.+Novi tok možemo pokrenuti tako da kroz tražilicu nađemo željenog klijenta i otvorimo stranicu s njegovim detaljima. S lijeve strane prozora ažurirat će se meni s novim opcijama specifičnim za tog klijena (slika). Klikom na Start new flows(1) otvara se prozor prikazan na slici. U lijevom dijelu novonastalog prozora nalazi se lista s kategorijama tokova koje možemo pokrenuti. Odabiremo tok ArtifactCollectonFlow(2) iz kategorije Collectors. U sredini prozora otvara se meni s argumentima(3) koje možemo zadati tom toku. Iz liste instaliranih artefakata odabiremo artefakte FirefoxHistory i LinuxLogFiles. Odmah ispod liste artefakata nalaze se dodatne opcije za svaki tok. Najzanimljivija od njih je Use tsk. Ako ju odaberemo klijent će pokušati naći artefakte primjenom TSK alata. Tu bi opciju odabrali ako postoji sumnja da je korisnik pokušao ukloniti povijest pretraživanja preglednika. U našem slučaju nećemo odabrati tu opciju. Nakon što smo odabrali sve opcije na dnu prozora pritiskom na Launch pokrećemo tok.
  
 {{ :racfor_wiki:alati:pokrenuti.png?600 |}} {{ :racfor_wiki:alati:pokrenuti.png?600 |}}
  
-Nakon što smo pokrenuli tok njegovo stanje možemo vidjeti odabirom opcije Manage launched flows(1) iz lijevog menija. U gornjem djelu prozora prikazano je nekoliko posljednjih tokova. Jednom pokrenut tok može biti u sljedeća tri stanja: TERMINATED, ERROR i RUNNING. Prvo označava da je tok uspješno završen, drugo da je prekinut zbog greške i treće da još nije završio. Tok na dnu liste (slika) je tipa CAEnroler i vidimo ga ga je pokrenut od strane komponente radnika. To je prvi tok koji se izvodi za svakog novog klijenta i zadužen je za registraciju klijentskog certifikata. Nakon njega izvodi se Interrogate tok. Njega je postavio i pokrenuo CAEnroler tok, a zadatak mu je od klijenta preuzeti osnovne informacije o računalu na kojem je instaliran. Na vrhu liste nalazi se posljednji pokrenuti tok(2), u ovom slučaju naša pretraga povijesti mrežnog preglednika. Kvačica u stupcu Status označava da je tok uspješno izveden. Rezultate toka možemo pregledati odabirom kartice Results(3). Klikom na tablicu u nižoj polovici prozora pojavljuje se povijest preglednika koju je klijent uspio pronaći koristeći artefakata koje smo mu zadali.+Stanje pokrenutog toka možemo vidjeti odabirom opcije Manage launched flows(1) iz lijevog menija. U gornjem djelu prozora prikazano je nekoliko posljednjih tokova. Jednom pokrenut tok može biti u sljedeća tri stanja: TERMINATED, ERROR i RUNNING. Prvo označava da je tok uspješno završen, drugo da je prekinut zbog greške i treće da još nije završio. Tok na dnu liste (slika) je tipa CAEnroler i vidimo ga ga je pokrenut od strane komponente radnika. To je prvi tok koji se izvodi za svakog novog klijenta i zadužen je za registraciju klijentskog certifikata. Nakon njega izvodi se Interrogate tok. Njega je postavio i pokrenuo CAEnroler tok, a zadatak mu je od klijenta preuzeti osnovne informacije o računalu na kojem je instaliran. Na vrhu liste nalazi se posljednji pokrenuti tok(2), u ovom slučaju naša pretraga povijesti mrežnog preglednika. Kvačica u stupcu Status označava da je tok uspješno izveden. Rezultate toka možemo pregledati odabirom kartice Results(3). Klikom na tablicu u nižoj polovici prozora pojavljuje se povijest preglednika koju je klijent uspio pronaći koristeći artefakata koje smo mu zadali.
  
 ==== Lov (Hunt) ==== ==== Lov (Hunt) ====
Redak 149: Redak 149:
 [1] [[https://grr-doc.readthedocs.io/en/latest/what-is-grr.html|GRR documentation]] [1] [[https://grr-doc.readthedocs.io/en/latest/what-is-grr.html|GRR documentation]]
  
-[4] [[https://www.sciencedirect.com/science/article/pii/S1742287611000363|Distributed forensics and incident response in the enterprise]]+[2] [[https://www.sciencedirect.com/science/article/pii/S1742287611000363|Distributed forensics and incident response in the enterprise]]
  
-[5] [[https://pdfs.semanticscholar.org/0178/f10c6a09a7ce84750bfa812426afb53d7778.pdf|Forensics Analysis of Docker Swarm Cluster using Grr Rapid Response Framework]]+[3] [[https://www.youtube.com/watch?v=ZAXtCMspgY0|OpenNSM (GRR Rapid Response – Greg Castle)]]
  
-[6] [[https://www.youtube.com/watch?v=ZAXtCMspgY0|OpenNSM (GRR Rapid Response – Greg Castle)]]+[4] [[https://www.youtube.com/watch?v=SIvf7-Lzp2M|GRR Users Meetup: Fleetspeak, API client, Go rewrite]]
  
-[7] [[https://www.youtube.com/watch?v=SIvf7-Lzp2M|GRR Users Meetup: Fleetspeak, API client, Go rewrite]] +[5] [[https://www.youtube.com/watch?v=ren6QSvwFvg|GRR: Find All the Badness, Collect All the Things]]
- +
-[8] [[https://www.blackhat.com/docs/us-14/materials/us-14-Castle-GRR-Find-All-The-Badness-Collect-All-The-Things-WP.pdf/GRR_Artifacts_Whitepaper_Blackhat2014_Greg_Castle.pdf|GRR Artifacts]] +
- +
-[9] [[https://www.youtube.com/watch?v=ren6QSvwFvg|GRR: Find All the Badness, Collect All the Things]] +
- +
-[10] [[https://dfrws.org/sites/default/files/session-files/pres_using_grr_and_rekall_for_scalable_memory_analysis.pdf|Rekall and GRR, Searching for evil, together!]]+
  
  
racfor_wiki/alati/analiza_alata_google_rapid_response.1577752633.txt.gz · Zadnja izmjena: 2024/12/05 12:23 (vanjsko uređivanje)
Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
CC Attribution-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0