Индикаторы компромисса (IOC) определяются как «части криминалистических данных, которые включают данные, найденные в записях или файлах системного журнала, которые идентифицируют потенциально вредоносную деятельность в системе или сети».
Контролируя IOC, организации могут обнаруживать атаки и действовать быстро, чтобы предотвратить такие нарушения или ограничить ущерб, остановив атаки на более ранних стадиях.
Есть несколько вариантов использования, которые позволяют запрашивать судебные артефакты, такие как —
- Ищем конкретный файл по MD5
- Поиск конкретной сущности, которая фактически хранится в памяти
- Конкретная запись или набор записей, которые хранятся в реестре Windows
Сочетание всего вышеперечисленного обеспечивает лучшие результаты при поиске артефактов. Как упоминалось выше, реестр Windows предоставляет идеальную платформу для генерации и поддержки IOC, что напрямую помогает в вычислительной экспертизе.
методология
-
Ищите места в файловой системе и, в частности, сейчас в реестре Windows.
-
Ищите набор артефактов, которые были разработаны с помощью инструментов судебной экспертизы.
-
Ищите признаки любых неблагоприятных действий.
Ищите места в файловой системе и, в частности, сейчас в реестре Windows.
Ищите набор артефактов, которые были разработаны с помощью инструментов судебной экспертизы.
Ищите признаки любых неблагоприятных действий.
Следственный жизненный цикл
Следственный жизненный цикл следует МОК и ищет конкретные записи в реестре.
-
Этап 1: начальное доказательство — доказательство компрометации обнаруживается либо на хосте, либо в сети. Ответчики будут расследовать и определить точное решение, которое является конкретным индикатором судебной экспертизы.
-
Этап 2. Создание IOC для хоста и сети. После собранных данных создается IOC, что легко сделать с помощью реестра Windows. Гибкость OpenIOC дает неограниченное количество вариантов того, как может быть создан индикатор.
-
Этап 3. Развертывание IOC на предприятии. После создания указанного IOC следователь развернет эти технологии с помощью API в регистрах Windows.
-
Этап 4: Идентификация подозреваемых . Развертывание МОК помогает идентифицировать подозреваемых обычным способом. Даже дополнительные системы будут определены.
-
Этап 5: сбор и анализ доказательств — доказательства против подозреваемых собираются и анализируются соответствующим образом.
-
Этап 6: уточнение и создание новых МОК . Исследовательская группа может создавать новые МОК на основе своих доказательств и данных, найденных на предприятии, а также дополнительных сведений и продолжать совершенствовать свой цикл.
Этап 1: начальное доказательство — доказательство компрометации обнаруживается либо на хосте, либо в сети. Ответчики будут расследовать и определить точное решение, которое является конкретным индикатором судебной экспертизы.
Этап 2. Создание IOC для хоста и сети. После собранных данных создается IOC, что легко сделать с помощью реестра Windows. Гибкость OpenIOC дает неограниченное количество вариантов того, как может быть создан индикатор.
Этап 3. Развертывание IOC на предприятии. После создания указанного IOC следователь развернет эти технологии с помощью API в регистрах Windows.
Этап 4: Идентификация подозреваемых . Развертывание МОК помогает идентифицировать подозреваемых обычным способом. Даже дополнительные системы будут определены.
Этап 5: сбор и анализ доказательств — доказательства против подозреваемых собираются и анализируются соответствующим образом.
Этап 6: уточнение и создание новых МОК . Исследовательская группа может создавать новые МОК на основе своих доказательств и данных, найденных на предприятии, а также дополнительных сведений и продолжать совершенствовать свой цикл.
На следующем рисунке показаны фазы исследовательского жизненного цикла —