CyberGlossary

Forensique et réponse

Analyse chronologique

Aussi appelé: Super timeline, Chronologie forensique

Définition

Technique forensique qui reconstitue la séquence chronologique des événements système en corrélant les horodatages du système de fichiers, du registre, des journaux et des applications.

L'analyse chronologique agrège des artefacts horodatés — entrées MFT, $LogFile, prefetch, ruches du registre, historique du navigateur, journaux d'événements et traces applicatives — dans une vue unifiée qui aide les enquêteurs à établir quoi, quand et dans quel ordre. Les analystes génèrent habituellement une "super timeline" avec Plaso/log2timeline puis la trient avec Timeline Explorer, Timesketch ou ELK. Cette technique est essentielle pour cadrer l'incident, identifier l'accès initial, le déplacement latéral et l'exfiltration, et pour construire un récit défendable. Il faut tenir compte du décalage d'horloge, de la normalisation des fuseaux (UTC en général) et du timestomping pratiqué par les attaquants afin d'éviter de fausses conclusions.

Exemples

  • Génération d'une super timeline Plaso à partir d'une image disque pour repérer la première exécution d'un binaire suspect.
  • Corrélation des connexions 4624 avec les entrées prefetch pour reconstituer la session de l'attaquant.

Termes liés