Timeline-Analyse
Was ist Timeline-Analyse?
Timeline-AnalyseEine forensische Technik, die die chronologische Abfolge von Ereignissen auf einem System rekonstruiert, indem Zeitstempel aus Dateien, Logs und anderen Artefakten korreliert werden.
Die Timeline-Analyse fasst zeitgestempelte Daten aus Dateisystem-Metadaten (MACB-Zeiten), Ereignisprotokollen, Registry-Hives, Browserverlauf, Prefetch-Dateien und Anwendungsspuren in einer einzigen geordneten Sicht zusammen. Ermittler nutzen sie, um zu bestimmen, wann ein Angriff begann, welche Dateien erstellt oder verändert wurden und wie sich der Angreifer in der Umgebung bewegte. Gängige Werkzeuge sind log2timeline/Plaso, das eine Super-Timeline erzeugt, sowie Autopsy, MFTECmd und KAPE. Zeitzonen, Uhrenabweichungen und Timestomping müssen berücksichtigt und Befunde aus mehreren Quellen validiert werden. Die Methode ist zentral in NIST SP 800-86.
● Beispiele
- 01
Erstellen einer Plaso-Super-Timeline eines kompromittierten Windows-Servers zur Identifikation der ersten Ausführung einer Schadsoftware.
- 02
Korrelation von EVTX-Anmeldeereignissen mit $MFT-Erstellzeiten zur Bestätigung lateraler Bewegung.
● Häufige Fragen
Was ist Timeline-Analyse?
Eine forensische Technik, die die chronologische Abfolge von Ereignissen auf einem System rekonstruiert, indem Zeitstempel aus Dateien, Logs und anderen Artefakten korreliert werden. Es gehört zur Kategorie Forensik und Incident Response der Cybersicherheit.
Was bedeutet Timeline-Analyse?
Eine forensische Technik, die die chronologische Abfolge von Ereignissen auf einem System rekonstruiert, indem Zeitstempel aus Dateien, Logs und anderen Artefakten korreliert werden.
Wie schützt man sich gegen Timeline-Analyse?
Schutzmaßnahmen gegen Timeline-Analyse kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Timeline-Analyse?
Übliche alternative Bezeichnungen: Super-Timeline, Forensische Zeitleiste.