Plaso
O que é Plaso?
PlasoFerramenta Python open source criada por Kristinn Gudjonsson que extrai automaticamente carimbos temporais de varias fontes para construir uma 'super timeline' forense.
O Plaso (Plaso Langar Ad Safna Ollu) e a reescrita moderna em Python da ferramenta original log2timeline em Perl, criada por Kristinn Gudjonsson em 2009. E o motor open source padrao para construir 'super timelines' que agregam carimbos temporais de imagens de disco, ficheiros individuais, hives do registro, historicos de navegadores, registos de eventos do Windows, syslogs Linux, plists do macOS, artefactos moveis e muitas outras fontes atraves de mais de 100 parsers. O comando principal 'log2timeline.py' gera um ficheiro de armazenamento Plaso, que o 'psort.py' converte para formatos como CSV, JSON ou Elasticsearch. O Plaso e a base de plataformas como o Timesketch e e amplamente usado em DFIR, threat hunting e reconstrucao de movimentos laterais.
● Exemplos
- 01
Gerar uma super timeline de um endpoint Windows com 'log2timeline.py image.E01' e importar a saida no Timesketch.
- 02
Filtrar a saida do Plaso com 'psort.py' para extrair apenas eventos dentro da janela de comprometimento suspeita.
● Perguntas frequentes
O que é Plaso?
Ferramenta Python open source criada por Kristinn Gudjonsson que extrai automaticamente carimbos temporais de varias fontes para construir uma 'super timeline' forense. Pertence à categoria Forense e resposta da cibersegurança.
O que significa Plaso?
Ferramenta Python open source criada por Kristinn Gudjonsson que extrai automaticamente carimbos temporais de varias fontes para construir uma 'super timeline' forense.
Como funciona Plaso?
O Plaso (Plaso Langar Ad Safna Ollu) e a reescrita moderna em Python da ferramenta original log2timeline em Perl, criada por Kristinn Gudjonsson em 2009. E o motor open source padrao para construir 'super timelines' que agregam carimbos temporais de imagens de disco, ficheiros individuais, hives do registro, historicos de navegadores, registos de eventos do Windows, syslogs Linux, plists do macOS, artefactos moveis e muitas outras fontes atraves de mais de 100 parsers. O comando principal 'log2timeline.py' gera um ficheiro de armazenamento Plaso, que o 'psort.py' converte para formatos como CSV, JSON ou Elasticsearch. O Plaso e a base de plataformas como o Timesketch e e amplamente usado em DFIR, threat hunting e reconstrucao de movimentos laterais.
Como se defender contra Plaso?
As defesas contra Plaso costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Plaso?
Nomes alternativos comuns: log2timeline, log2timeline.py, Plaso framework.
● Termos relacionados
- forensics-ir№ 1156
Análise de linha do tempo
Técnica forense que reconstrói a sequência cronológica de eventos num sistema, correlacionando carimbos temporais de ficheiros, registos e outros artefactos.
- forensics-ir№ 668
Forense de memória
Disciplina de aquisição e análise da RAM volátil do sistema para revelar processos em execução, ligações de rede, código injetado e artefactos em memória.
- forensics-ir№ 1242
Análise do Registry do Windows
Exame forense das hives do Registry do Windows para recuperar configuração, atividade do utilizador e evidências de execução ou persistência.
- forensics-ir№ 426
Imagem forense
Cópia bit a bit de um suporte de armazenamento, verificada por hashes criptográficos, usada para análise forense e como evidência admissível.
- forensics-ir№ 524
Resposta a incidentes
Processo organizado para preparar, detetar, analisar, conter, erradicar e recuperar de incidentes de cibersegurança, capturando lições aprendidas.
- forensics-ir№ 162
Cadeia de custódia
Registo cronológico e documentado de cada pessoa, local e ação que afetam uma evidência desde a apreensão até à sua disposição final.