Plaso
Qu'est-ce que Plaso ?
PlasoOutil Python open source cree par Kristinn Gudjonsson qui extrait automatiquement les horodatages de nombreuses sources pour construire une 'super timeline' forensique.
Plaso (Plaso Langar Ad Safna Ollu) est la reecriture moderne en Python de l'outil original log2timeline en Perl, cree par Kristinn Gudjonsson en 2009. C'est le moteur open source standard pour construire des 'super timelines' qui agregent les horodatages provenant d'images disque, de fichiers isoles, de ruches du registre, d'historiques de navigateurs, de journaux d'evenements Windows, de syslog Linux, de plists macOS, d'artefacts mobiles et de bien d'autres sources via plus de 100 parsers. La commande principale 'log2timeline.py' genere un fichier de stockage Plaso, que 'psort.py' convertit ensuite en CSV, JSON ou vers Elasticsearch. Plaso est au coeur de plateformes telles que Timesketch et est largement utilise en DFIR, en chasse aux menaces et pour reconstituer les mouvements lateraux.
● Exemples
- 01
Generer une super timeline d'un endpoint Windows avec 'log2timeline.py image.E01' puis importer la sortie dans Timesketch.
- 02
Filtrer la sortie de Plaso avec 'psort.py' pour extraire uniquement les evenements de la fenetre de compromission suspectee.
● Questions fréquentes
Qu'est-ce que Plaso ?
Outil Python open source cree par Kristinn Gudjonsson qui extrait automatiquement les horodatages de nombreuses sources pour construire une 'super timeline' forensique. Cette notion relève de la catégorie Forensique et réponse en cybersécurité.
Que signifie Plaso ?
Outil Python open source cree par Kristinn Gudjonsson qui extrait automatiquement les horodatages de nombreuses sources pour construire une 'super timeline' forensique.
Comment fonctionne Plaso ?
Plaso (Plaso Langar Ad Safna Ollu) est la reecriture moderne en Python de l'outil original log2timeline en Perl, cree par Kristinn Gudjonsson en 2009. C'est le moteur open source standard pour construire des 'super timelines' qui agregent les horodatages provenant d'images disque, de fichiers isoles, de ruches du registre, d'historiques de navigateurs, de journaux d'evenements Windows, de syslog Linux, de plists macOS, d'artefacts mobiles et de bien d'autres sources via plus de 100 parsers. La commande principale 'log2timeline.py' genere un fichier de stockage Plaso, que 'psort.py' convertit ensuite en CSV, JSON ou vers Elasticsearch. Plaso est au coeur de plateformes telles que Timesketch et est largement utilise en DFIR, en chasse aux menaces et pour reconstituer les mouvements lateraux.
Comment se défendre contre Plaso ?
Les défenses contre Plaso combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Plaso ?
Noms alternatifs courants : log2timeline, log2timeline.py, Plaso framework.
● Termes liés
- forensics-ir№ 1156
Analyse de chronologie
Technique forensique qui reconstitue la séquence chronologique des événements d'un système en corrélant les horodatages des fichiers, des journaux et d'autres artefacts.
- forensics-ir№ 668
Forensique mémoire
Discipline d'acquisition et d'analyse de la RAM volatile d'un système pour révéler processus, connexions réseau, code injecté et artefacts en mémoire.
- forensics-ir№ 1242
Analyse du Registre Windows
Examen forensique des ruches du Registre Windows pour récupérer la configuration, l'activité utilisateur et des preuves d'exécution ou de persistance.
- forensics-ir№ 426
Imagerie forensique
Copie bit à bit d'un support de stockage, vérifiée par empreintes cryptographiques, exploitable pour l'analyse et recevable en justice.
- forensics-ir№ 524
Réponse à incident
Processus organisé permettant de préparer, détecter, analyser, contenir, éradiquer puis récupérer suite à un incident de cybersécurité, en capitalisant sur les leçons apprises.
- forensics-ir№ 162
Chaîne de possession
Traçabilité chronologique et documentée de chaque personne, lieu et action ayant affecté une preuve, de la saisie jusqu'à son sort final.