विषय पर बढ़ें

Timesketch के साथ Hayabusa परिणामों का विश्लेषण

परिचय

"Timesketch सहयोगात्मक फोरेंसिक टाइमलाइन विश्लेषण के लिए एक ओपन-सोर्स टूल है। sketches का उपयोग करके आप और आपके सहयोगी आसानी से अपनी टाइमलाइन को व्यवस्थित कर सकते हैं और उन सभी का एक साथ विश्लेषण कर सकते हैं। समृद्ध एनोटेशन, टिप्पणियों, टैग और स्टार के साथ अपने कच्चे डेटा को अर्थ प्रदान करें।"

छोटी जांच के लिए जहां आप केवल कुछ सौ MB आकार की CSV फ़ाइल का विश्लेषण कर रहे हैं और अकेले काम कर रहे हैं, Timeline Explorer उपयुक्त है, हालांकि, जब आप बड़े डेटा के साथ या किसी टीम के साथ काम कर रहे हैं, तो Timesketch जैसा टूल बहुत बेहतर है।

Timesketch निम्नलिखित लाभ प्रदान करता है:

  1. यह बहुत तेज़ है और बड़े डेटा को संभाल सकता है
  2. यह एक सहयोगात्मक टूल है जहां कई उपयोगकर्ता एक साथ इसका उपयोग कर सकते हैं
  3. यह उन्नत डेटा विश्लेषण, हिस्टोग्राम और विज़ुअलाइज़ेशन प्रदान करता है
  4. यह Windows तक सीमित नहीं है
  5. यह उन्नत क्वेरीइंग का समर्थन करता है

CTI समर्थन, विभिन्न एनालाइज़र, इंटरैक्टिव नोटबुक आदि जैसे कई अन्य लाभ भी हैं... अधिक जानकारी के लिए कृपया उपयोगकर्ता गाइड और YouTube चैनल देखें।

एकमात्र नकारात्मक पहलू यह है कि आपको अपने लैब वातावरण में एक Timesketch सर्वर सेटअप करना होगा लेकिन सौभाग्य से यह करना बहुत आसान है।

इंस्टॉल करना

Docker

आधिकारिक निर्देशों का पालन करें यहाँ

Ubuntu

नोट: आगे बढ़ने से पहले Docker इंस्टॉल किया जाना चाहिए। यदि आपने पहले से Docker इंस्टॉल नहीं किया है तो कृपया ऊपर दिए गए Docker इंस्टॉलेशन निर्देशों का पालन करें। हम कम से कम 8GB मेमोरी के साथ नवीनतम Ubuntu LTS Server संस्करण का उपयोग करने की सलाह देते हैं। आप इसे यहाँ से डाउनलोड कर सकते हैं। इसे सेटअप करते समय मिनिमल इंस्टॉल चुनें। OS सेटअप करते समय docker इंस्टॉल न करें। आपके पास ifconfig उपलब्ध नहीं होगा, इसलिए इसे sudo apt install net-tools के साथ इंस्टॉल करें।

उसके बाद, VM का IP पता खोजने के लिए ifconfig चलाएँ और वैकल्पिक रूप से इसमें ssh करें।

निम्नलिखित कमांड चलाएँ: 

curl -s -O https://raw.githubusercontent.com/google/timesketch/master/contrib/deploy_timesketch.sh
chmod 755 deploy_timesketch.sh
cd /opt
sudo ~/deploy_timesketch.sh
cd timesketch
sudo docker compose up -d

# Create a user named user. Set the password here.
sudo docker compose exec timesketch-web tsctl create-user user

macOS

नोट: आगे बढ़ने से पहले, सुनिश्चित करें कि आपके सिस्टम पर Docker Desktop for Mac इंस्टॉल है और चल रहा है। Timesketch रिपॉजिटरी को क्लोन करें और डायरेक्टरी में जाएँ। 

git clone https://github.com/google/timesketch.git
cd timesketch
नीचे दिए गए चरणों का पालन करके Docker कंटेनर शुरू करें।

  • https://github.com/google/timesketch/tree/master/docker/e2e#build-and-start-containers

लॉग इन करना

ifconfig के साथ Timesketch सर्वर का IP पता पता करें और इसे वेब ब्राउज़र के साथ खोलें। आपको एक लॉगिन पेज पर रीडायरेक्ट किया जाएगा। उपयोगकर्ता जोड़ते समय आपके द्वारा उपयोग किए गए उपयोगकर्ता क्रेडेंशियल के साथ लॉग इन करें।

एक नया sketch बनाना

Start a new investigation के अंतर्गत, BLANK SKETCH पर क्लिक करें। sketch को अपनी जांच से संबंधित कुछ नाम दें।

अपनी टाइमलाइन अपलोड करना

+ ADD TIMELINE पर क्लिक करने के बाद, आपको एक डायलॉग बॉक्स दिखाई देगा जो आपसे Plaso, JSONL या CSV फ़ाइल अपलोड करने के लिए कहेगा। दुर्भाग्य से, Timesketch वर्तमान में Hayabusa के JSONL फ़ॉर्मेट को इम्पोर्ट नहीं कर सकता, इसलिए निम्नलिखित कमांड के साथ एक CSV टाइमलाइन बनाएँ और अपलोड करें:

hayabusa-x.x.x-win-x64.exe csv-timeline -d <DIR> -o timesketch-import.csv -p timesketch-verbose --ISO-8601

नोट: एक timesketch* प्रोफ़ाइल चुनना और UTC के लिए टाइमस्टैम्प को --ISO-8601 या स्थानीय समय के लिए --RFC-3339 के रूप में निर्दिष्ट करना आवश्यक है। यदि आप चाहें तो अन्य Hayabusa विकल्प जोड़ सकते हैं, हालांकि, -M, --multiline विकल्प न जोड़ें क्योंकि न्यूलाइन कैरेक्टर इम्पोर्ट को दूषित कर देंगे।

"Select file to upload" डायलॉग बॉक्स में, अपनी टाइमलाइन को hayabusa जैसा कुछ नाम दें, Comma (,) CSV डेलिमिटर चुनें और SUBMIT पर क्लिक करें।

यदि आपकी CSV फ़ाइल अपलोड करने के लिए बहुत बड़ी है, तो आप Takajo के split-csv-timeline कमांड के साथ फ़ाइल को कई CSV फ़ाइलों में विभाजित कर सकते हैं।

जब फ़ाइल इम्पोर्ट हो रही होती है तो आपको एक घूमता हुआ वृत्त दिखाई देगा इसलिए कृपया तब तक प्रतीक्षा करें जब तक यह समाप्त न हो जाए और आपको hayabusa दिखाई न दे।

विश्लेषण युक्तियाँ

टाइमलाइन दिखाना

नोट: इम्पोर्ट सफलतापूर्वक समाप्त होने के बाद भी, यह Your search did not match any events दिखाएगा और hayabusa टाइमलाइन में 0 इवेंट होंगे।

* के लिए खोजें और इवेंट नीचे दिखाए अनुसार दिखाई देंगे:

Timesketch परिणाम

अलर्ट विवरण

यदि आप message कॉलम के अंतर्गत किसी अलर्ट नियम शीर्षक पर क्लिक करते हैं, तो आपको अलर्ट के बारे में विस्तृत जानकारी मिलेगी:

अलर्ट विवरण

यदि आप sigma नियम लॉजिक को समझना चाहते हैं, विवरण और संदर्भ आदि देखना चाहते हैं... तो कृपया hayabusa-rules रिपॉजिटरी में नियम देखें।

फ़ील्ड फ़िल्टरिंग

किसी इवेंट के नियम शीर्षक पर क्लिक करके उसका विवरण खोलने के बाद आप किसी भी फ़ील्ड पर होवर करके आसानी से मान को फ़िल्टर इन या आउट कर सकते हैं:

फ़िल्टर इन आउट

एग्रीगेशन एनालिटिक्स

होवर करते समय, यदि आप सबसे बाएँ Aggregation dialog आइकन पर क्लिक करते हैं, तो आपको उस फ़ील्ड के संबंध में वास्तव में बेहतरीन इवेंट डेटा एनालिटिक्स मिलते हैं:

इवेंट डेटा एनालिटिक्स

उपयोगकर्ता टिप्पणियाँ

जब आप विस्तृत जानकारी प्राप्त करने के लिए किसी अलर्ट पर क्लिक करते हैं, तो दाईं ओर एक नया टिप्पणी डायलॉग बॉक्स आइकन दिखाया जाता है, जैसा कि नीचे दिखाया गया है:

टिप्पणी आइकन

यहाँ, उपयोगकर्ता एक चैट शुरू कर सकते हैं और जांच के बारे में टिप्पणियाँ लिख सकते हैं।

यदि आप एक टीम में काम कर रहे हैं, तो आपको शायद प्रत्येक सदस्य के लिए अलग उपयोगकर्ता खाता बनाना चाहिए ताकि आप जान सकें कि किसने क्या लिखा।

टिप्पणी चैट

यदि आप किसी टिप्पणी पर होवर करते हैं, तो आप आसानी से संदेशों को संपादित और हटा सकते हैं।

कॉलम संशोधित करना

डिफ़ॉल्ट रूप से, केवल टाइमस्टैम्प और अलर्ट नियम शीर्षक प्रदर्शित होंगे इसलिए फ़ील्ड को अनुकूलित करने के लिए Modify columns आइकन पर क्लिक करें:

ModifyColumnsIcon

यह निम्नलिखित डायलॉग बॉक्स खोलेगा:

कॉलम चुनें

हम कम से कम निम्नलिखित कॉलम क्रम में जोड़ने की सलाह देते हैं:

  1. Level
  2. Computer
  3. Channel
  4. EventID
  5. RecordID

कॉलम का क्रम उस क्रम के आधार पर बदल जाएगा जिसमें आप उन्हें जोड़ते हैं, इसलिए अधिक महत्वपूर्ण फ़ील्ड पहले जोड़ें।

यदि आपके पास अभी भी आपकी स्क्रीन पर जगह है, तो हम Details भी जोड़ने की सलाह देते हैं, जैसा कि यहाँ दिखाया गया है:

विवरण

यदि आपके पास अभी भी आपकी स्क्रीन पर जगह है, तो हम ExtraFieldInfo भी जोड़ने की सलाह देते हैं, हालांकि, जैसा कि आप यहाँ देखते हैं, यदि आप बहुत अधिक कॉलम जोड़ते हैं तो message फ़ील्ड बहुत संकीर्ण हो जाएगा और आप अलर्ट शीर्षक नहीं पढ़ पाएंगे:

बहुत अधिक विवरण

शीर्ष आइकन

एलिप्सिस आइकन

यदि आप ··· आइकन पर क्लिक करते हैं, तो आप पंक्तियों को अधिक संक्षिप्त बना सकते हैं और परिणामों के लिए अधिक जगह बनाने के लिए Timeline name को हटा सकते हैं:

अधिक जगह

इवेंट हिस्टोग्राम

आप टाइमलाइन को विज़ुअलाइज़ करने के लिए इवेंट हिस्टोग्राम को टॉगल ऑन कर सकते हैं:

इवेंट हिस्टोग्राम

यदि आप किसी एक बार पर क्लिक करते हैं, तो यह उस समय अवधि के दौरान के परिणाम दिखाने के लिए एक टाइम फ़िल्टर बनाएगा।

वर्तमान खोज सहेजें

यदि आप टाइमस्टैम्प के ठीक ऊपर और Toggle Event Histogram आइकन के बाईं ओर Save current search आइकन पर क्लिक करते हैं, तो आप अपनी वर्तमान खोज क्वेरी के साथ-साथ कॉलम कॉन्फ़िगरेशन को Saved Searches में सहेज सकते हैं। बाद में, बाईं ओर के साइडबार से आप आसानी से अपनी पसंदीदा खोजों तक पहुँच सकते हैं।

खोज बार

यहाँ कुछ काम के क्वेरी हैं जिनसे शुरुआत की जा सकती है जो केवल कुछ गंभीरता स्तरों वाले अलर्ट दिखाते हैं:

  1. केवल क्रिटिकल अलर्ट दिखाने के लिए Level:crit
  2. हाई और क्रिटिकल अलर्ट दिखाने के लिए Level:crit OR Level:high
  3. सूचनात्मक अलर्ट छिपाने के लिए NOT Level:info

आप फ़ील्ड नाम प्लस : प्लस मान टाइप करके आसानी से फ़िल्टर कर सकते हैं। आप AND, OR, और NOT के साथ फ़िल्टर को जोड़ सकते हैं। वाइल्डकार्ड और रेगुलर एक्सप्रेशन समर्थित हैं।

अधिक उन्नत क्वेरी के लिए यहाँ उपयोगकर्ता गाइड देखें।

खोज इतिहास

यदि आप खोज बार के बाईं ओर क्लॉक आइकन पर क्लिक करते हैं तो आप पहले दर्ज की गई क्वेरी दिखा सकते हैं। आप पिछली और अगली क्वेरी चलाने के लिए बाएँ और दाएँ तीर आइकन पर भी क्लिक कर सकते हैं।

खोज इतिहास

वर्टिकल एलिप्सिस

यदि आप किसी टाइमस्टैम्प के बाईं ओर वर्टिकल एलिप्सिस पर क्लिक करते हैं और Context search पर क्लिक करते हैं, तो आप किसी निश्चित इवेंट के पहले और बाद में हुए अलर्ट देख सकते हैं:

वर्टिकल एलिप्सिस

यह यह सामने लाएगा:

संदर्भ खोज

ऊपर दिए गए उदाहरण में, 60 सेकंड (60S) पहले और बाद के इवेंट दिखाए जा रहे हैं लेकिन आप इसे +- 1 सेकंड (1S) से +- 60 मिनट (60M) तक समायोजित कर सकते हैं।

यदि आप दिखाए गए इवेंट में और गहराई से जाना चाहते हैं, तो मानक टाइमलाइन में इवेंट दिखाने के लिए Replace Search पर क्लिक करें।

स्टार और टैग

आप किसी टाइमस्टैम्प के बाईं ओर स्टार आइकन पर क्लिक करके उसे स्टार कर सकते हैं और इसे एक महत्वपूर्ण इवेंट के रूप में नोट कर सकते हैं।

आप इवेंट में टैग भी जोड़ सकते हैं। यह दूसरों को यह संकेत देने के लिए उपयोगी है कि आपने पुष्टि की है कि कोई इवेंट संदिग्ध, दुर्भावनापूर्ण, गलत-सकारात्मक आदि है... यदि आप किसी टीम में काम कर रहे हैं, तो आप under investigation by xxx जैसे टैग बना सकते हैं ताकि यह संकेत मिले कि कोई वर्तमान में अलर्ट की जांच कर रहा है।

स्टार और टैग