\u00a0<\/p>\n
Aplica\u00e7\u00f5es pr\u00e1ticas em cen\u00e1rios reais<\/strong><\/p>\n Vamos agora aplicar o Plaso em um cen\u00e1rio pr\u00e1tico. Imagine que voc\u00ea est\u00e1 investigando um incidente de seguran\u00e7a em que um atacante comprometeu um servidor. Utilizando o Plaso, voc\u00ea pode:<\/p>\n \u00a0<\/p>\n \u00a0<\/p>\n Identificar o ponto de entrada<\/strong>:<\/p>\n Analisar logs de autentica\u00e7\u00e3o para detectar logins suspeitos.<\/p>\n<\/li>\n Verificar se houve execu\u00e7\u00e3o de scripts ou programas maliciosos.<\/p>\n<\/li>\n<\/ul>\n<\/li>\n Rastrear atividades do atacante<\/strong>:<\/p>\n Reconstruir a linha do tempo das a\u00e7\u00f5es realizadas pelo atacante.<\/p>\n<\/li>\n Identificar arquivos criados, modificados ou exclu\u00eddos.<\/p>\n<\/li>\n<\/ul>\n<\/li>\n Coletar evid\u00eancias para relat\u00f3rios<\/strong>:<\/p>\n Exportar eventos espec\u00edficos para incluir em relat\u00f3rios forenses.<\/p>\n<\/li>\n Utilizar os dados para embasar decis\u00f5es de resposta a incidentes.<\/p>\n<\/li>\n<\/ul>\n<\/li>\n<\/ul>\n \u00a0<\/p>\n Aqui est\u00e3o as linhas de comando no shell do Linux para aplicar o Plaso (Log2Timeline) no cen\u00e1rio pr\u00e1tico descrito, anunciado no artigo “Forense Digital com Linux – T\u00e9cnicas pr\u00e1ticas – parte 8”, conforme informa\u00e7\u00f5es anteriores:<\/p>\n 1. Identificar o ponto de entrada<\/strong><\/p>\n Analisar logs de autentica\u00e7\u00e3o para detectar logins suspeitos:<\/strong><\/p>\n Este comando filtra eventos relacionados a logs de autentica\u00e7\u00e3o (como\u00a0 \u00a0<\/p>\n Verificar se houve execu\u00e7\u00e3o de scripts ou programas maliciosos:<\/strong><\/p>\n Este comando filtra eventos relacionados ao hist\u00f3rico do Bash ( \u00a0<\/p>\n 2. Rastrear atividades do atacante<\/strong><\/p>\n Reconstruir a linha do tempo das a\u00e7\u00f5es realizadas pelo atacante:<\/strong><\/p>\n Este comando filtra todos os eventos associados ao usu\u00e1rio\u00a0 \u00a0<\/p>\n Identificar arquivos criados, modificados ou exclu\u00eddos:<\/strong><\/p>\n Este comando extrai eventos relacionados a opera\u00e7\u00f5es de arquivos (cria\u00e7\u00e3o, modifica\u00e7\u00e3o e exclus\u00e3o) e os exporta para\u00a0 3. Coletar evid\u00eancias para relat\u00f3rios<\/strong><\/p>\n Exportar eventos espec\u00edficos para incluir em relat\u00f3rios forenses:<\/strong><\/p>\n Este comando filtra eventos que ocorreram entre 1\u00ba de outubro de 2023 e 31 de outubro de 2023 e os exporta para\u00a0 \u00a0<\/p>\n Utilizar os dados para embasar decis\u00f5es de resposta a incidentes:<\/strong><\/p>\n Este comando filtra apenas eventos de cria\u00e7\u00e3o e exclus\u00e3o de arquivos, que podem ser cr\u00edticos para a investiga\u00e7\u00e3o, e os exporta para\u00a0 \u00a0<\/p>\n Explica\u00e7\u00e3o dos comandos<\/strong><\/p>\n Como utilizar os resultados<\/strong><\/p>\n Os arquivos CSV gerados podem ser abertos em ferramentas como Excel, Google Sheets ou qualquer software de planilhas para an\u00e1lise detalhada.<\/p>\n<\/li>\n Utilize os dados para identificar padr\u00f5es, correlacionar eventos e construir um relat\u00f3rio forense completo.<\/p>\n<\/li>\n<\/ul>\n \u00a0<\/p>\n Esses comandos permitem que voc\u00ea aplique o Plaso de maneira eficiente em cen\u00e1rios reais de investiga\u00e7\u00e3o de seguran\u00e7a cibern\u00e9tica.<\/p>\n \u00a0<\/p>\n\n
\n
\n
\n
\u00a0<\/h3>\n
psort.py -o<\/span> dynamic --filter<\/span> \"parser == 'linux:auth_log'\"<\/span> -w<\/span> <\/strong>
auth_logs.csv timeline.plaso<\/strong>
<\/pre>\n<\/div>\n\n
\/var\/log\/auth.log<\/code>) e os exporta para um arquivo CSV chamado\u00a0auth_logs.csv<\/code>.<\/p>\n<\/li>\n<\/ul>\npsort.py -o<\/span> dynamic --filter<\/span> \"parser == 'bash:history' OR parser == 'linux:syslog'\"<\/span> -w
<\/span> executed_scripts.csv timeline.plaso<\/strong>
<\/pre>\n<\/div>\n\n
~\/.bash_history<\/code>) e logs do sistema (\/var\/log\/syslog<\/code>) para identificar a execu\u00e7\u00e3o de scripts ou programas.<\/p>\n<\/li>\n<\/ul>\npsort.py -o<\/span> dynamic --filter<\/span> \"user == 'atacante'\"<\/span> -w<\/span> attacker_timeline.csv timeline.plaso<\/strong>
<\/pre>\n<\/div>\n\n
atacante<\/code>\u00a0e os exporta para um arquivo CSV chamado\u00a0attacker_timeline.csv<\/code>.<\/p>\n<\/li>\n<\/ul>\npsort.py -o<\/span> dynamic --filter<\/span> \"parser == 'filestat'\"<\/span> -w<\/span> file_activities.csv timeline.plaso<\/strong>
<\/pre>\n<\/div>\n\n
file_activities.csv<\/code>.<\/p>\n<\/li>\n<\/ul>\n\u00a0<\/h3>\n
psort.py -o<\/span> dynamic --filter<\/span> \"timestamp >= '2023-10-01' AND timestamp <= '2023-10-31'\"<\/span> -w<\/span> <\/strong>
october_events.csv timeline.plaso<\/strong>
<\/pre>\n<\/div>\n\n
october_events.csv<\/code>.<\/p>\n<\/li>\n<\/ul>\npsort.py -o<\/span> dynamic --filter<\/span> \"event_type == 'file:creation' OR event_type == 'file:deletion'\"<\/span> <\/strong>
-w<\/span> critical_file_changes.csv timeline.plaso<\/strong>
<\/pre>\n<\/div>\n\n
critical_file_changes.csv<\/code>.<\/p>\n<\/li>\n<\/ul>\n\n
psort.py<\/code><\/strong>: Ferramenta do Plaso para processar e filtrar eventos armazenados em um arquivo\u00a0.plaso<\/code>.<\/p>\n<\/li>\n-o dynamic<\/code><\/strong>: Define o formato de sa\u00edda como din\u00e2mico, que \u00e9 adequado para exporta\u00e7\u00e3o em CSV.<\/p>\n<\/li>\n--filter<\/code><\/strong>: Permite aplicar filtros espec\u00edficos para extrair apenas os eventos relevantes.<\/p>\n<\/li>\n-w<\/code><\/strong>: Especifica o arquivo de sa\u00edda onde os resultados ser\u00e3o salvos.<\/p>\n<\/li>\ntimeline.plaso<\/code><\/strong>: Arquivo gerado pelo\u00a0log2timeline.py<\/code>\u00a0que cont\u00e9m todos os eventos extra\u00eddos.<\/p>\n<\/li>\n<\/ul>\n\u00a0<\/h3>\n
\n