Forense e resposta
Análise de linha do tempo
Também conhecido como: Super timeline, Cronologia forense
Definição
Técnica forense que reconstrói a sequência cronológica de eventos do sistema correlacionando timestamps do sistema de arquivos, registro, logs e aplicações.
A análise de linha do tempo agrega artefatos com timestamp — entradas MFT, $LogFile, prefetch, hives do registro, histórico de navegador, logs de eventos e rastros de aplicações — em uma visão cronológica unificada que ajuda os investigadores a estabelecer o que aconteceu, quando e em que ordem. Os analistas geram normalmente uma "super timeline" com Plaso/log2timeline e a triam no Timeline Explorer, Timesketch ou ELK. A técnica é essencial para delimitar o incidente, identificar acesso inicial, movimento lateral e exfiltração, e construir narrativas defensáveis. É preciso considerar a deriva de relógio, a normalização de fuso (em geral UTC) e o timestomping feito por adversários para evitar conclusões equivocadas.
Exemplos
- Gerar uma super timeline com Plaso a partir de uma imagem de disco para localizar a primeira execução de um binário suspeito.
- Correlacionar logons 4624 do Windows com entradas de prefetch para rastrear a sessão do atacante.
Termos relacionados
Forense digital
Disciplina científica que identifica, preserva, analisa e relata evidências digitais de computadores, redes e dispositivos de forma juridicamente defensável.
Artifact Analysis
Artifact Analysis — definition coming soon.
Log Analysis
Log Analysis — definition coming soon.
Windows Registry Analysis
Windows Registry Analysis — definition coming soon.
Forense de disco
Análise de suportes de armazenamento não voláteis (HDD, SSD, USB) para recuperar e interpretar artefactos do sistema de ficheiros, aplicações e sistema operativo.
Anti-Forensics
Anti-Forensics — definition coming soon.