Analyse de chronologie
Qu'est-ce que Analyse de chronologie ?
Analyse de chronologieTechnique forensique qui reconstitue la séquence chronologique des événements d'un système en corrélant les horodatages des fichiers, des journaux et d'autres artefacts.
L'analyse de chronologie agrège des données horodatées provenant des métadonnées du système de fichiers (temps MACB), des journaux d'événements, des ruches de la base de registre, de l'historique du navigateur, des fichiers prefetch et des traces applicatives dans une vue ordonnée unique. Les enquêteurs l'utilisent pour déterminer le début d'une intrusion, les fichiers créés ou modifiés et le déplacement de l'attaquant. Les outils courants incluent log2timeline/Plaso, qui produit une super-timeline, ainsi qu'Autopsy, MFTECmd et KAPE. L'analyste tient compte du fuseau horaire, de la dérive d'horloge et du timestomping, et recoupe ses conclusions. Cette approche est centrale dans NIST SP 800-86.
● Exemples
- 01
Construction d'une super-timeline Plaso sur un serveur Windows compromis pour identifier la première exécution d'un binaire malveillant.
- 02
Corrélation d'événements EVTX de connexion avec les dates de création du $MFT pour confirmer un mouvement latéral.
● Questions fréquentes
Qu'est-ce que Analyse de chronologie ?
Technique forensique qui reconstitue la séquence chronologique des événements d'un système en corrélant les horodatages des fichiers, des journaux et d'autres artefacts. Cette notion relève de la catégorie Forensique et réponse en cybersécurité.
Que signifie Analyse de chronologie ?
Technique forensique qui reconstitue la séquence chronologique des événements d'un système en corrélant les horodatages des fichiers, des journaux et d'autres artefacts.
Comment se défendre contre Analyse de chronologie ?
Les défenses contre Analyse de chronologie combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de Analyse de chronologie ?
Noms alternatifs courants : Super-timeline, Chronologie forensique.