انتقل إلى المحتوى

تحليل نتائج Hayabusa باستخدام Timesketch

نبذة

"Timesketch هي أداة مفتوحة المصدر لتحليل الجداول الزمنية الجنائية بشكل تعاوني. باستخدام الرسومات (sketches) يمكنك أنت والمتعاونون معك تنظيم جداولكم الزمنية بسهولة وتحليلها جميعًا في الوقت نفسه. أضف معنى إلى بياناتك الخام من خلال التعليقات التوضيحية الغنية والتعليقات والوسوم والنجوم."

بالنسبة للتحقيقات الصغيرة التي تحلل فيها ملف CSV لا يتجاوز حجمه بضع مئات من الميغابايت وتعمل بمفردك، فإن Timeline Explorer مناسبة، ولكن عندما تعمل مع بيانات أكبر أو مع فريق، فإن أداة مثل Timesketch أفضل بكثير.

تقدم Timesketch الفوائد التالية:

  1. إنها سريعة جدًا ويمكنها التعامل مع البيانات الكبيرة
  2. إنها أداة تعاونية يمكن لعدة مستخدمين استخدامها في وقت واحد
  3. توفر تحليلًا متقدمًا للبيانات والمدرجات التكرارية والتصورات المرئية
  4. ليست مقتصرة على Windows
  5. تدعم الاستعلامات المتقدمة

هناك العديد من الفوائد الأخرى مثل دعم CTI، ومحللات متنوعة، ودفاتر ملاحظات تفاعلية، إلخ... يرجى الاطلاع على دليل المستخدم وقناة YouTube لمزيد من المعلومات.

العيب الوحيد هو أنه سيتعين عليك إعداد خادم Timesketch في بيئة المختبر الخاصة بك، ولكن لحسن الحظ فإن هذا أمر بسيط جدًا.

التثبيت

Docker

اتبع التعليمات الرسمية هنا.

Ubuntu

ملاحظة: يجب تثبيت Docker قبل المتابعة. يرجى اتباع تعليمات تثبيت Docker أعلاه إذا لم تكن قد ثبّت Docker بالفعل. نوصي باستخدام أحدث إصدار من Ubuntu LTS Server مع ما لا يقل عن 8GB من الذاكرة. يمكنك تنزيله هنا. اختر التثبيت الأدنى (minimal install) عند إعداده. لا تثبّت docker عند إعداد نظام التشغيل. لن يكون ifconfig متاحًا لديك، لذا ثبّته باستخدام sudo apt install net-tools.

بعد ذلك، شغّل ifconfig للعثور على عنوان IP الخاص بالجهاز الافتراضي واختياريًا قم بالاتصال به عبر ssh.

شغّل الأوامر التالية: 

curl -s -O https://raw.githubusercontent.com/google/timesketch/master/contrib/deploy_timesketch.sh
chmod 755 deploy_timesketch.sh
cd /opt
sudo ~/deploy_timesketch.sh
cd timesketch
sudo docker compose up -d

# Create a user named user. Set the password here.
sudo docker compose exec timesketch-web tsctl create-user user

macOS

ملاحظة: قبل المتابعة، تأكد من أن لديك Docker Desktop for Mac مثبتًا وقيد التشغيل على نظامك. استنسخ مستودع Timesketch وانتقل إلى الدليل. 

git clone https://github.com/google/timesketch.git
cd timesketch
ابدأ حاوية Docker باتباع الخطوات أدناه.

  • https://github.com/google/timesketch/tree/master/docker/e2e#build-and-start-containers

تسجيل الدخول

اعثر على عنوان IP الخاص بخادم Timesketch باستخدام ifconfig وافتحه بمتصفح ويب. ستتم إعادة توجيهك إلى صفحة تسجيل الدخول. سجّل الدخول باستخدام بيانات اعتماد المستخدم التي استخدمتها عند إضافة مستخدم.

إنشاء رسمة جديدة

ضمن Start a new investigation، انقر على BLANK SKETCH. سمِّ الرسمة باسم ذي صلة بتحقيقك.

رفع جدولك الزمني

بعد النقر على + ADD TIMELINE، سترى مربع حوار يطلب منك رفع ملف Plaso أو JSONL أو CSV. لسوء الحظ، لا تستطيع Timesketch حاليًا استيراد تنسيق JSONL الخاص بـ Hayabusa، لذا أنشئ وارفع جدولًا زمنيًا بتنسيق CSV باستخدام الأمر التالي:

hayabusa-x.x.x-win-x64.exe csv-timeline -d <DIR> -o timesketch-import.csv -p timesketch-verbose --ISO-8601

ملاحظة: من الضروري اختيار ملف تعريف timesketch* وتحديد الطابع الزمني كـ --ISO-8601 لـ UTC أو --RFC-3339 للوقت المحلي. يمكنك إضافة خيارات Hayabusa أخرى إذا رغبت، ولكن لا تضف خيار -M, --multiline لأن أحرف السطر الجديد ستفسد عملية الاستيراد.

في مربع حوار "Select file to upload"، سمِّ جدولك الزمني باسم مثل hayabusa، واختر فاصل CSV Comma (,) وانقر على SUBMIT.

إذا كان ملف CSV الخاص بك كبيرًا جدًا بحيث لا يمكن رفعه، يمكنك تقسيم الملف إلى عدة ملفات CSV باستخدام أمر split-csv-timeline الخاص بـ Takajo.

أثناء استيراد الملف سترى دائرة دوّارة لذا يرجى الانتظار حتى ينتهي وترى ظهور hayabusa.

نصائح للتحليل

عرض الجدول الزمني

ملاحظة: حتى بعد انتهاء الاستيراد بنجاح، سيظهر Your search did not match any events وسيكون هناك 0 من الأحداث في الجدول الزمني hayabusa.

ابحث عن * وستظهر الأحداث كما هو موضح أدناه:

نتائج Timesketch

تفاصيل التنبيه

إذا نقرت على عنوان قاعدة التنبيه ضمن عمود message، فستحصل على معلومات مفصلة حول التنبيه:

تفاصيل التنبيه

إذا أردت فهم منطق قاعدة sigma، والبحث عن الوصف والمراجع، إلخ... يرجى البحث عن القاعدة في مستودع hayabusa-rules.

تصفية الحقول

بعد فتح تفاصيل حدث ما بالنقر على عنوان قاعدته، يمكنك تمرير المؤشر فوق أي حقل لتصفية القيمة بسهولة بإدراجها أو استبعادها:

تصفية بالإدراج والاستبعاد

تحليلات التجميع

عند تمرير المؤشر، إذا نقرت على أيقونة Aggregation dialog الموجودة في أقصى اليسار، فستحصل على تحليلات رائعة حقًا لبيانات الأحداث المتعلقة بذلك الحقل:

تحليلات بيانات الأحداث

تعليقات المستخدمين

عند النقر على تنبيه للحصول على معلومات مفصلة، تظهر أيقونة مربع حوار تعليق جديد على الجانب الأيمن، كما هو موضح أدناه:

أيقونة التعليق

هنا، يمكن للمستخدمين بدء محادثة وكتابة تعليقات حول التحقيق.

إذا كنت تعمل ضمن فريق، فمن الأفضل على الأرجح إنشاء حساب مستخدم مختلف لكل عضو حتى تعرف من كتب ماذا.

محادثة التعليقات

إذا مررت المؤشر فوق تعليق، يمكنك بسهولة تحرير الرسائل وحذفها.

تعديل الأعمدة

افتراضيًا، لن يُعرض سوى الطابع الزمني وعنوان قاعدة التنبيه، لذا انقر على أيقونات Modify columns لتخصيص الحقول:

ModifyColumnsIcon

سيؤدي هذا إلى فتح مربع الحوار التالي:

تحديد الأعمدة

نوصي بإضافة الأعمدة التالية على الأقل بالترتيب:

  1. Level
  2. Computer
  3. Channel
  4. EventID
  5. RecordID

سيتغير ترتيب الأعمدة بناءً على الترتيب الذي تضيفها به، لذا أضف الحقول الأكثر أهمية أولًا.

إذا كان لا يزال لديك مساحة على شاشتك، نوصي أيضًا بإضافة Details، كما هو موضح هنا:

التفاصيل

إذا كان لا يزال لديك مساحة على شاشتك، نوصي أيضًا بإضافة ExtraFieldInfo، ولكن كما ترى هنا، إذا أضفت عددًا كبيرًا جدًا من الأعمدة فسيصبح حقل message ضيقًا جدًا ولن تتمكن من قراءة عناوين التنبيهات بعد الآن:

تفاصيل كثيرة جدًا

الأيقونات العلوية

أيقونة علامة الحذف

إذا نقرت على أيقونة ···، يمكنك جعل الصفوف أكثر إحكامًا وإزالة Timeline name لإنشاء مساحة أكبر للنتائج:

مساحة أكبر

المدرج التكراري للأحداث

يمكنك تفعيل المدرج التكراري للأحداث لتصور الجدول الزمني:

المدرج التكراري للأحداث

إذا نقرت على أحد الأعمدة، فسيؤدي ذلك إلى إنشاء عامل تصفية زمني لعرض النتائج خلال تلك الفترة الزمنية فقط.

حفظ البحث الحالي

إذا نقرت على أيقونة Save current search الموجودة فوق الطوابع الزمنية مباشرة وعلى يسار أيقونة Toggle Event Histogram، يمكنك حفظ استعلام البحث الحالي بالإضافة إلى تكوين الأعمدة في Saved Searches. لاحقًا، من الشريط الجانبي الأيسر يمكنك بسهولة الوصول إلى عمليات البحث المفضلة لديك.

شريط البحث

فيما يلي بعض الاستعلامات المفيدة للبدء بها من خلال عرض التنبيهات ذات مستويات خطورة معينة فقط:

  1. Level:crit لعرض التنبيهات الحرجة فقط.
  2. Level:crit OR Level:high لعرض التنبيهات العالية والحرجة
  3. NOT Level:info لإخفاء التنبيهات المعلوماتية

يمكنك التصفية بسهولة عن طريق كتابة اسم الحقل بالإضافة إلى : بالإضافة إلى القيمة. يمكنك دمج عوامل التصفية باستخدام AND وOR وNOT. تُدعم أحرف البدل والتعبيرات النمطية.

راجع دليل المستخدم هنا للحصول على استعلامات أكثر تقدمًا.

سجل البحث

إذا نقرت على أيقونة الساعة الموجودة على يسار شريط البحث يمكنك عرض الاستعلامات التي أُدخلت سابقًا. يمكنك أيضًا النقر على أيقونتي السهمين الأيسر والأيمن لتشغيل الاستعلامات السابقة والتالية.

سجل البحث

علامة الحذف العمودية

إذا نقرت على علامة الحذف العمودية الموجودة على يسار طابع زمني ونقرت على Context search، يمكنك رؤية التنبيهات التي حدثت قبل وبعد حدث معين:

علامة الحذف العمودية

سيؤدي هذا إلى ظهور ما يلي:

بحث السياق

في المثال أعلاه، تُعرض الأحداث قبل وبعد 60 ثانية (60S) ولكن يمكنك تعديل ذلك من +- 1 ثانية (1S) إلى +- 60 دقيقة (60M).

إذا أردت التعمق أكثر في الأحداث المعروضة، انقر على Replace Search لعرض الأحداث في الجدول الزمني القياسي.

النجوم والوسوم

يمكنك النقر على أيقونة النجمة الموجودة على يسار طابع زمني لتمييزه بنجمة وتسجيله كحدث مهم.

يمكنك أيضًا إضافة وسوم إلى الأحداث. هذا مفيد للإشارة للآخرين إلى أنك أكدت أن حدثًا ما مشبوه أو خبيث أو إيجابي كاذب، إلخ... إذا كنت تعمل ضمن فريق، يمكنك إنشاء وسوم مثل under investigation by xxx للإشارة إلى أن شخصًا ما يحقق حاليًا في التنبيه.

النجوم والوسوم