Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.

Razlike

Slijede razlike između dviju inačica stranice.

Poveznica na ovu usporedbu

Starije izmjene na obje strane Starija izmjena
Novija izmjena 		Starija izmjena
racfor_wiki:pregled_alata_redline [2020/12/31 11:01]
msego 		racfor_wiki:pregled_alata_redline [2023/06/19 18:17] (trenutno)
Redak 9: Redak 9:
 ===== Uvod ===== ===== Uvod =====
 Alat Redline je forenzička programska podrška koja je proizvod tvrtke RedEye. Alat je besplatan i omogućava korisnicima da lakše pronađu znakove zloćudnih aktivnosti na krajnjem računalu. Podržava: Alat Redline je forenzička programska podrška koja je proizvod tvrtke RedEye. Alat je besplatan i omogućava korisnicima da lakše pronađu znakove zloćudnih aktivnosti na krajnjem računalu. Podržava:
-  * Element obične listeElement obične listeAnalizu memorije i datoteka +  * Analizu memorije i datoteka 
-  * Element obične listeStvaranje profila za procjenu prijetnji+  * Stvaranje profila za procjenu prijetnji
   * Revizija i prikupljanje svih pokrenutih procesa iz memorije, metapodataka datotečnog sustava, podataka registra (Windows), dnevnika događaja, mrežnih informacija, pokrenutih servisa i povijesti pretraživanja.   * Revizija i prikupljanje svih pokrenutih procesa iz memorije, metapodataka datotečnog sustava, podataka registra (Windows), dnevnika događaja, mrežnih informacija, pokrenutih servisa i povijesti pretraživanja.
-  * Element obične listeAnaliza i pregled uvezenih podataka s mogućnošću filtriranja po vremenskim trenutcima/intervalima. +  * Analiza i pregled uvezenih podataka s mogućnošću filtriranja po vremenskim trenutcima/intervalima. 
-  * Element obične listeAnaliza po „pokazateljima kompromitiranosti“ (engl. Indicators of Compromise - IOC) na Windows platformi.+  * Analiza po „pokazateljima kompromitiranosti“ (engl. Indicators of Compromise - IOC) na Windows platformi.
  
 ===== Pokazatelji kompromitiranosti ===== ===== Pokazatelji kompromitiranosti =====
  
-Indicator of Compromise – IOC je jedna ili više karakteristika koje ukazuju na prisutstvo ili izvršavanje specifičnog malicioznog procesa ili korištenje poznatih napadačkih metodologija. Oni su forenzički artefakti sistemskog upada, a stvaraju se prema [[http://openioc.org/|postojećem standardu]]. To mogu biti tradicionalni forenzički objekti kao što su MD5 sažetci, naziv datoteke, veličina datoteke, putanja/lokacija datoteke, ključevi iz registra. Najbolji pokazatelji kompromitiranosti imaju sljedeća svojstva:+Indicator of Compromise – IOC je jedna ili više karakteristika koje ukazuju na prisustvo ili izvršavanje specifičnog malicioznog procesa ili korištenje poznatih napadačkih metodologija. Oni su forenzički artefakti sistemskog upada, a stvaraju se prema [[http://openioc.org/|postojećem standardu]]. To mogu biti tradicionalni forenzički objekti kao što su MD5 sažetci, naziv datoteke, veličina datoteke, putanja/lokacija datoteke, ključevi iz registra. Najbolji pokazatelji kompromitiranosti imaju sljedeća svojstva:
   * Identificiraju samo napadačevu aktivnost.   * Identificiraju samo napadačevu aktivnost.
   * Nisu „skupi“ za procjenu. Tipično su jednostavni i procjenjuju informaciju koju nije teško prikupiti ili proizvesti.   * Nisu „skupi“ za procjenu. Tipično su jednostavni i procjenjuju informaciju koju nije teško prikupiti ili proizvesti.
Redak 31: Redak 31:
 ==== Redline Istraga ==== ==== Redline Istraga ====
  
-Alat Redline omogučuje i posebnu vrstu istrage ako se koriste IOC-i. Alat nakon prikupljenih informacija prikazuje sva podudaranja s konfiguriranim IOC-ima. Kod pregledavanja rezultata analize alat omogućuje:+Alat Redline omogućuje i posebnu vrstu istrage ako se koriste IOC-i. Alat nakon prikupljenih informacija prikazuje sva podudaranja s konfiguriranim IOC-ima. Kod pregledavanja rezultata analize alat omogućuje:
   * Pregled u tablici s detaljima   * Pregled u tablici s detaljima
   * Korištenje oznaka i komentara   * Korištenje oznaka i komentara
Redak 46: Redak 46:
 Za korištenje Redline alata potrebno je prikupiti ili koristiti već prikupljene informacije. Prikupljanje informacija se ostvaruje pomoću "Redline Collector-a" kojeg generira sam alat Redline nakon konfiguriranja koje informacije se žele prikupiti. Za korištenje Redline alata potrebno je prikupiti ili koristiti već prikupljene informacije. Prikupljanje informacija se ostvaruje pomoću "Redline Collector-a" kojeg generira sam alat Redline nakon konfiguriranja koje informacije se žele prikupiti.
  
-Sam alat Redline koji služi za analizu prikupljenih informacija treuntno je podržan na ovim operacijskim sustavima:+Sam alat Redline koji služi za analizu prikupljenih informacija trenutno je podržan na ovim operacijskim sustavima:
   * Windows 10 (32/64 bit)   * Windows 10 (32/64 bit)
   * Windows 8x (32/64 bit)   * Windows 8x (32/64 bit)
Redak 84: Redak 84:
   * Pretraga „pokazatelja kompromitiranosti“ (Indicators of Compromise – IOC) – Collector samo za Windows platformu koji omogućuje prikupljanje onih podataka koji su povezani s određenim IOC-ima. Korisno kad želimo prikupiti informacije samo o točno odabranim IOC-ima npr. tragovi nekog malware-a.   * Pretraga „pokazatelja kompromitiranosti“ (Indicators of Compromise – IOC) – Collector samo za Windows platformu koji omogućuje prikupljanje onih podataka koji su povezani s određenim IOC-ima. Korisno kad želimo prikupiti informacije samo o točno odabranim IOC-ima npr. tragovi nekog malware-a.
  
-Ovisno o tome što se odabere prikupljanje informacija može biti završeno vrlo kratko skoro trenutno ili može trajati satima ćak i danima.+Ovisno o tome što se odabere prikupljanje informacija može biti završeno vrlo kratko skoro trenutno ili može trajati satima čak i danima.
  
 {{ :racfor_wiki:capture.png?400 | Primjer odabiranja podataka o trajnoj memoriji.}} {{ :racfor_wiki:capture.png?400 | Primjer odabiranja podataka o trajnoj memoriji.}}
Redak 170: Redak 170:
   * Trenutak obilježavanja stranice   * Trenutak obilježavanja stranice
  
-U alatu redline kroz ove informacije se može filtrirati po:+U alatu Redline kroz ove informacije se može filtrirati po:
   * Preusmjerenim pretraživanjima   * Preusmjerenim pretraživanjima
   * Prethodnoj stranici   * Prethodnoj stranici
Redak 193: Redak 193:
   * Naziv i putanja datoteke   * Naziv i putanja datoteke
  
-U alatu Redline kolačiće se može filtirati po:+U alatu Redline kolačiće se može filtrirati po:
   * HTTPS oznaka   * HTTPS oznaka
   * HTTP oznak   * HTTP oznak
Redak 233: Redak 233:
   * Ručno preuzimanje, svako preuzimanje koje je direktno pokrenuo korisnik   * Ručno preuzimanje, svako preuzimanje koje je direktno pokrenuo korisnik
   * Spremanja na nestandardne lokacije (Windows)   * Spremanja na nestandardne lokacije (Windows)
-  * Dostupno potpuno HTTP zaglavlje, prilikom preuzimanja datoteke sačuavano je kompletno HTTP zaglavlje+  * Dostupno potpuno HTTP zaglavlje, prilikom preuzimanja datoteke sačuvano je kompletno HTTP zaglavlje
   * Veće od 20 kb   * Veće od 20 kb
   * Nezavršeno   * Nezavršeno
Redak 269: Redak 269:
 ===== Zaključak ===== ===== Zaključak =====
  
 +Alat Redline je alat dostupan svima jer je besplatan i namijenjen je svim korisnicima, a ne samo forenzičarima. Alat Pomaže u prikupljanju i obradi informacija o napadnutim računalima. Alat je u vlasništvu tvrtke FireEye koja je najavila kontinuirani razvoj proizvoda, a nudi i druge proizvode (neke besplatne) koji komplementiraju ovaj. Dodatne informacije se mogu pronaći u navedenoj literaturi i na stranicama tvrtke FireEye.
 ===== Literatura ===== ===== Literatura =====
  
racfor_wiki/pregled_alata_redline.1609408878.txt.gz · Zadnja izmjena: 2023/06/19 18:14 (vanjsko uređivanje)
Dieses Dokuwiki verwendet ein von Anymorphic Webdesign erstelltes Thema.
CC Attribution-Share Alike 4.0 International
www.chimeric.de Valid CSS Driven by DokuWiki do yourself a favour and use a real browser - get firefox!! Recent changes RSS feed Valid XHTML 1.0