フォレンジックと IR
タイムライン分析
別称: スーパータイムライン, フォレンジックタイムライン
定義
ファイルシステム、レジストリ、ログ、アプリケーションの各アーティファクトのタイムスタンプを突き合わせ、システムイベントを時系列に再構成するフォレンジック手法。
タイムライン分析は、MFT エントリ、$LogFile、プリフェッチ、レジストリハイブ、ブラウザ履歴、イベントログ、アプリ痕跡などのタイムスタンプ付きアーティファクトを統合し、何がいつどの順序で起きたかを示す統一的な時系列ビューを作成します。実務では Plaso/log2timeline で「スーパータイムライン」を生成し、Timeline Explorer、Timesketch、ELK などでトリアージするのが一般的です。本手法はインシデントの範囲確定、初期侵入・横展開・情報窃取の特定、そして説明可能な調査結果を構築するうえで不可欠です。誤った結論を避けるため、時計のずれ、タイムゾーンの正規化(通常 UTC)、攻撃者によるタイムスタンプ改ざんを必ず考慮する必要があります。
例
- ディスクイメージから Plaso でスーパータイムラインを生成し、不審なバイナリの初回実行時刻を特定する。
- Windows セキュリティイベント 4624 のログオンとプリフェッチを突き合わせ、攻撃者のセッションを追跡する。
関連用語
デジタルフォレンジック
コンピュータ・ネットワーク・端末上のデジタル証拠を法的に有効な形で識別・保全・分析・報告する科学的分野。
Artifact Analysis
Artifact Analysis — definition coming soon.
Log Analysis
Log Analysis — definition coming soon.
Windows Registry Analysis
Windows Registry Analysis — definition coming soon.
ディスクフォレンジック
HDD・SSD・USB などの不揮発性ストレージを解析し、ファイルシステム・アプリ・OS のアーティファクトを復元・解釈する分野。
Anti-Forensics
Anti-Forensics — definition coming soon.