Plaso
Was ist Plaso?
PlasoOpen-Source-Python-Tool von Kristinn Gudjonsson, das automatisch Zeitstempel aus vielen Quellen extrahiert, um eine 'Super-Timeline' fuer die forensische Analyse zu erstellen.
Plaso (Plaso Langar Ad Safna Ollu) ist die moderne Python-Neuimplementierung des urspruenglich von Kristinn Gudjonsson 2009 in Perl geschriebenen Tools log2timeline. Es ist die Standard-Open-Source-Engine zum Erstellen von 'Super-Timelines', die Zeitstempel aus Disk-Images, einzelnen Dateien, Registry-Hives, Browser-Historien, Windows-Ereignisprotokollen, Linux-Syslogs, macOS-Plists, Mobil-Artefakten und vielen weiteren Quellen ueber mehr als 100 Parser aggregieren. Der Kernbefehl 'log2timeline.py' erzeugt eine Plaso-Storage-Datei, die anschliessend von 'psort.py' in Formate wie CSV, JSON oder Elasticsearch konvertiert wird. Plaso bildet die Grundlage fuer forensische Plattformen wie Timesketch und wird breit in DFIR, Threat-Hunting und der Rekonstruktion von Lateral-Movement eingesetzt.
● Beispiele
- 01
Erstellung einer Super-Timeline eines Windows-Endpoints mit 'log2timeline.py image.E01' und Import in Timesketch.
- 02
Filtern der Plaso-Ausgabe mit 'psort.py', um nur Ereignisse im vermuteten Breach-Zeitfenster zu extrahieren.
● Häufige Fragen
Was ist Plaso?
Open-Source-Python-Tool von Kristinn Gudjonsson, das automatisch Zeitstempel aus vielen Quellen extrahiert, um eine 'Super-Timeline' fuer die forensische Analyse zu erstellen. Es gehört zur Kategorie Forensik und Incident Response der Cybersicherheit.
Was bedeutet Plaso?
Open-Source-Python-Tool von Kristinn Gudjonsson, das automatisch Zeitstempel aus vielen Quellen extrahiert, um eine 'Super-Timeline' fuer die forensische Analyse zu erstellen.
Wie funktioniert Plaso?
Plaso (Plaso Langar Ad Safna Ollu) ist die moderne Python-Neuimplementierung des urspruenglich von Kristinn Gudjonsson 2009 in Perl geschriebenen Tools log2timeline. Es ist die Standard-Open-Source-Engine zum Erstellen von 'Super-Timelines', die Zeitstempel aus Disk-Images, einzelnen Dateien, Registry-Hives, Browser-Historien, Windows-Ereignisprotokollen, Linux-Syslogs, macOS-Plists, Mobil-Artefakten und vielen weiteren Quellen ueber mehr als 100 Parser aggregieren. Der Kernbefehl 'log2timeline.py' erzeugt eine Plaso-Storage-Datei, die anschliessend von 'psort.py' in Formate wie CSV, JSON oder Elasticsearch konvertiert wird. Plaso bildet die Grundlage fuer forensische Plattformen wie Timesketch und wird breit in DFIR, Threat-Hunting und der Rekonstruktion von Lateral-Movement eingesetzt.
Wie schützt man sich gegen Plaso?
Schutzmaßnahmen gegen Plaso kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Plaso?
Übliche alternative Bezeichnungen: log2timeline, log2timeline.py, Plaso-Framework.
● Verwandte Begriffe
- forensics-ir№ 1156
Timeline-Analyse
Eine forensische Technik, die die chronologische Abfolge von Ereignissen auf einem System rekonstruiert, indem Zeitstempel aus Dateien, Logs und anderen Artefakten korreliert werden.
- forensics-ir№ 668
Memory-Forensik
Disziplin zur Sicherung und Analyse des flüchtigen Arbeitsspeichers, um Prozesse, Netzwerkverbindungen, injizierten Code und In-Memory-Artefakte aufzudecken.
- forensics-ir№ 1242
Analyse der Windows-Registry
Forensische Untersuchung der Windows-Registry-Hives zur Wiederherstellung von Konfiguration, Benutzeraktivität und Hinweisen auf Programmausführung oder Persistenz.
- forensics-ir№ 426
Forensische Imageerstellung
Bitgenaue Kopie eines Speichermediums, durch kryptografische Hashes verifiziert, zur Analyse und als gerichtsfestes Beweismittel.
- forensics-ir№ 524
Incident Response
Strukturierter Prozess zur Vorbereitung, Erkennung, Analyse, Eindämmung, Bereinigung und Wiederherstellung nach Cyber-Sicherheitsvorfällen mit anschließender Auswertung.
- forensics-ir№ 162
Beweismittelkette
Lückenlose, dokumentierte Aufzeichnung jeder Person, jedes Orts und jeder Handlung in Bezug auf ein Beweismittel von der Sicherstellung bis zur Vernichtung.