Plaso
¿Qué es Plaso?
PlasoHerramienta Python de codigo abierto creada por Kristinn Gudjonsson que extrae automaticamente marcas de tiempo de multiples fuentes para construir una 'super timeline' forense.
Plaso (Plaso Langar Ad Safna Ollu) es la reescritura moderna en Python de la herramienta original log2timeline en Perl creada por Kristinn Gudjonsson en 2009. Es el motor de codigo abierto estandar para construir 'super timelines' que agregan marcas de tiempo de imagenes de disco, archivos individuales, ramas del registro, historial de navegadores, registros de eventos de Windows, syslogs de Linux, plists de macOS, artefactos moviles y muchas otras fuentes mediante mas de 100 parsers. El comando principal 'log2timeline.py' genera un fichero de almacenamiento Plaso que 'psort.py' convierte despues a CSV, JSON o Elasticsearch. Plaso es la base de plataformas como Timesketch y se utiliza ampliamente en DFIR, threat hunting y reconstruccion de movimientos laterales.
● Ejemplos
- 01
Generar una super timeline de un endpoint Windows con 'log2timeline.py image.E01' e importar la salida en Timesketch.
- 02
Filtrar la salida de Plaso con 'psort.py' para extraer solo eventos dentro de una ventana de brecha sospechosa.
● Preguntas frecuentes
¿Qué es Plaso?
Herramienta Python de codigo abierto creada por Kristinn Gudjonsson que extrae automaticamente marcas de tiempo de multiples fuentes para construir una 'super timeline' forense. Pertenece a la categoría de Forense y respuesta en ciberseguridad.
¿Qué significa Plaso?
Herramienta Python de codigo abierto creada por Kristinn Gudjonsson que extrae automaticamente marcas de tiempo de multiples fuentes para construir una 'super timeline' forense.
¿Cómo funciona Plaso?
Plaso (Plaso Langar Ad Safna Ollu) es la reescritura moderna en Python de la herramienta original log2timeline en Perl creada por Kristinn Gudjonsson en 2009. Es el motor de codigo abierto estandar para construir 'super timelines' que agregan marcas de tiempo de imagenes de disco, archivos individuales, ramas del registro, historial de navegadores, registros de eventos de Windows, syslogs de Linux, plists de macOS, artefactos moviles y muchas otras fuentes mediante mas de 100 parsers. El comando principal 'log2timeline.py' genera un fichero de almacenamiento Plaso que 'psort.py' convierte despues a CSV, JSON o Elasticsearch. Plaso es la base de plataformas como Timesketch y se utiliza ampliamente en DFIR, threat hunting y reconstruccion de movimientos laterales.
¿Cómo defenderse de Plaso?
Las defensas contra Plaso combinan habitualmente controles técnicos y prácticas operativas, como se detalla en la definición.
¿Cuáles son otros nombres para Plaso?
Nombres alternativos comunes: log2timeline, log2timeline.py, Plaso framework.
● Términos relacionados
- forensics-ir№ 1156
Análisis de línea de tiempo
Técnica forense que reconstruye la secuencia cronológica de eventos en un sistema correlacionando marcas de tiempo de archivos, registros y otros artefactos.
- forensics-ir№ 668
Forense de memoria
Disciplina que adquiere y analiza la RAM volátil del sistema para revelar procesos en ejecución, conexiones de red, código inyectado y artefactos en memoria.
- forensics-ir№ 1242
Análisis del Registro de Windows
Examen forense de las colmenas del Registro de Windows para recuperar configuración, actividad del usuario y evidencias de ejecución de programas o persistencia.
- forensics-ir№ 426
Imagen forense
Copia bit a bit de un soporte de almacenamiento, verificada con hashes criptográficos, para análisis forense y como evidencia admisible.
- forensics-ir№ 524
Respuesta a incidentes
Proceso organizado para preparar, detectar, analizar, contener, erradicar y recuperarse de incidentes de ciberseguridad, capturando además lecciones aprendidas.
- forensics-ir№ 162
Cadena de custodia
Registro cronológico y documentado de cada persona, ubicación y acción que afecta una evidencia desde su incautación hasta su disposición final.