Forense y respuesta
Análisis de línea de tiempo
También conocido como: Súper línea de tiempo, Cronología forense
Definición
Técnica forense que reconstruye la secuencia cronológica de eventos del sistema correlacionando marcas de tiempo del sistema de archivos, registro, logs y aplicaciones.
El análisis de línea de tiempo agrega artefactos con marca temporal —entradas MFT, $LogFile, prefetch, hives del registro, historial de navegador, registros de eventos y trazas de aplicaciones— en una vista cronológica unificada que ayuda a establecer qué ocurrió, cuándo y en qué orden. Los analistas suelen generar una "super timeline" con Plaso/log2timeline y revisarla en Timeline Explorer, Timesketch o ELK. Es clave para acotar incidentes, identificar el acceso inicial, el movimiento lateral y la exfiltración, así como para sostener una narrativa defendible. Hay que considerar la desviación de relojes, la normalización de zona horaria (habitualmente UTC) y el timestomping aplicado por adversarios para evitar conclusiones erróneas.
Ejemplos
- Generar una super timeline con Plaso a partir de una imagen de disco para identificar la primera ejecución de un binario sospechoso.
- Correlacionar inicios de sesión 4624 con prefetch para reconstruir la sesión del atacante.
Términos relacionados
Informática forense
Disciplina científica que identifica, preserva, analiza y documenta evidencia digital de equipos, redes y dispositivos de forma jurídicamente defendible.
Artifact Analysis
Artifact Analysis — definition coming soon.
Log Analysis
Log Analysis — definition coming soon.
Windows Registry Analysis
Windows Registry Analysis — definition coming soon.
Forense de disco
Análisis de medios de almacenamiento no volátiles (HDD, SSD, USB) para recuperar y examinar artefactos del sistema de archivos, aplicaciones y sistema operativo.
Anti-Forensics
Anti-Forensics — definition coming soon.