Análise de linha do tempo
O que é Análise de linha do tempo?
Análise de linha do tempoTécnica forense que reconstrói a sequência cronológica de eventos num sistema, correlacionando carimbos temporais de ficheiros, registos e outros artefactos.
A análise de linha do tempo agrega dados com carimbo temporal de metadados do sistema de ficheiros (tempos MACB), registos de eventos, ramos do Registry, histórico de navegação, ficheiros prefetch e traços de aplicações numa única vista ordenada. Os investigadores usam-na para determinar quando começou uma intrusão, que ficheiros foram criados ou modificados e como o atacante se moveu. Ferramentas comuns incluem log2timeline/Plaso, que produz uma super-timeline, além de Autopsy, MFTECmd e KAPE. O analista deve considerar fusos horários, desvio de relógio e timestomping, validando com múltiplas fontes. A técnica é central no NIST SP 800-86.
● Exemplos
- 01
Construção de uma super-timeline Plaso de um servidor Windows comprometido para identificar a primeira execução de um binário malicioso.
- 02
Correlacionar eventos de logon EVTX com tempos de criação do $MFT para confirmar movimento lateral.
● Perguntas frequentes
O que é Análise de linha do tempo?
Técnica forense que reconstrói a sequência cronológica de eventos num sistema, correlacionando carimbos temporais de ficheiros, registos e outros artefactos. Pertence à categoria Forense e resposta da cibersegurança.
O que significa Análise de linha do tempo?
Técnica forense que reconstrói a sequência cronológica de eventos num sistema, correlacionando carimbos temporais de ficheiros, registos e outros artefactos.
Como se defender contra Análise de linha do tempo?
As defesas contra Análise de linha do tempo costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Análise de linha do tempo?
Nomes alternativos comuns: Super-timeline, Cronologia forense.