タイムライン分析
タイムライン分析 とは何ですか?
タイムライン分析ファイル、ログ、その他のアーティファクトのタイムスタンプを相関させて、システム上で発生した事象の時系列を再構築するフォレンジック手法。
タイムライン分析は、ファイルシステムのメタデータ(MACB タイム)、イベントログ、レジストリハイブ、ブラウザ履歴、Prefetch ファイル、アプリケーションの痕跡など、タイムスタンプ付きのデータを一つの順序付きビューに集約します。調査担当者はこれを用いて侵入の開始時期、作成・変更されたファイル、攻撃者の移動経路を特定します。代表的なツールにはスーパータイムラインを生成する log2timeline/Plaso のほか、Autopsy、MFTECmd、KAPE があります。タイムゾーン、時計のずれ、タイムスタンプ改ざんを考慮し、複数の独立した情報源で裏付けを取る必要があります。NIST SP 800-86 のインシデント対応プロセスでも中心的な技法です。
● 例
- 01
侵害された Windows サーバーの Plaso スーパータイムラインを構築し、悪性バイナリの最初の実行時刻を特定する。
- 02
EVTX のログオンイベントと $MFT の作成時刻を突き合わせて横展開を確認する。
● よくある質問
タイムライン分析 とは何ですか?
ファイル、ログ、その他のアーティファクトのタイムスタンプを相関させて、システム上で発生した事象の時系列を再構築するフォレンジック手法。 サイバーセキュリティの フォレンジックと IR カテゴリに属します。
タイムライン分析 とはどういう意味ですか?
ファイル、ログ、その他のアーティファクトのタイムスタンプを相関させて、システム上で発生した事象の時系列を再構築するフォレンジック手法。
タイムライン分析 からどのように防御しますか?
タイムライン分析 に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
タイムライン分析 の別名は何ですか?
一般的な別名: スーパータイムライン分析, フォレンジックタイムライン。