Plaso
Что такое Plaso?
PlasoОткрытый Python-инструмент, созданный Кристинном Гудьонссоном, автоматически извлекающий временные метки из множества источников для построения форензической «суперлинии времени».
Plaso (Plaso Langar Ad Safna Ollu) — это современная переписанная на Python версия оригинального инструмента log2timeline на Perl, созданного Кристинном Гудьонссоном в 2009 году. Это стандартный открытый движок для построения «суперлиний времени», агрегирующий временные метки из образов дисков, отдельных файлов, кустов реестра, истории браузеров, журналов событий Windows, Linux-syslog, macOS plist, мобильных артефактов и множества других источников через более чем 100 парсеров. Основная команда 'log2timeline.py' создаёт файл хранилища Plaso, который затем 'psort.py' конвертирует в форматы CSV, JSON или Elasticsearch. Plaso лежит в основе таких форензических платформ, как Timesketch, и широко применяется в DFIR, threat hunting и реконструкции бокового перемещения.
● Примеры
- 01
Построение суперлинии времени Windows-эндпоинта с помощью 'log2timeline.py image.E01' и импорт результата в Timesketch.
- 02
Фильтрация вывода Plaso через 'psort.py' для извлечения только событий, попадающих в предполагаемое окно компрометации.
● Частые вопросы
Что такое Plaso?
Открытый Python-инструмент, созданный Кристинном Гудьонссоном, автоматически извлекающий временные метки из множества источников для построения форензической «суперлинии времени». Относится к категории Криминалистика и реагирование в кибербезопасности.
Что означает Plaso?
Открытый Python-инструмент, созданный Кристинном Гудьонссоном, автоматически извлекающий временные метки из множества источников для построения форензической «суперлинии времени».
Как работает Plaso?
Plaso (Plaso Langar Ad Safna Ollu) — это современная переписанная на Python версия оригинального инструмента log2timeline на Perl, созданного Кристинном Гудьонссоном в 2009 году. Это стандартный открытый движок для построения «суперлиний времени», агрегирующий временные метки из образов дисков, отдельных файлов, кустов реестра, истории браузеров, журналов событий Windows, Linux-syslog, macOS plist, мобильных артефактов и множества других источников через более чем 100 парсеров. Основная команда 'log2timeline.py' создаёт файл хранилища Plaso, который затем 'psort.py' конвертирует в форматы CSV, JSON или Elasticsearch. Plaso лежит в основе таких форензических платформ, как Timesketch, и широко применяется в DFIR, threat hunting и реконструкции бокового перемещения.
Как защититься от Plaso?
Защита от Plaso обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Plaso?
Распространённые альтернативные названия: log2timeline, log2timeline.py, Plaso framework.
● Связанные термины
- forensics-ir№ 1156
Анализ временной шкалы
Криминалистический метод, восстанавливающий хронологическую последовательность событий в системе путём сопоставления меток времени файлов, журналов и других артефактов.
- forensics-ir№ 668
Криминалистика оперативной памяти
Дисциплина по захвату и анализу оперативной памяти системы для выявления процессов, сетевых соединений, внедрённого кода и артефактов в памяти.
- forensics-ir№ 1242
Анализ реестра Windows
Криминалистическое исследование ульев реестра Windows для восстановления конфигурации, активности пользователя и доказательств запуска программ или закрепления.
- forensics-ir№ 426
Криминалистическое снятие образа
Побитовая копия носителя информации, проверенная криминалистическими хешами, для криминалистического анализа и допустимая в качестве доказательства.
- forensics-ir№ 524
Реагирование на инциденты
Организованный процесс подготовки, обнаружения, анализа, сдерживания, устранения и восстановления после инцидентов ИБ с фиксацией уроков.
- forensics-ir№ 162
Цепочка хранения доказательств
Хронологически задокументированный след всех лиц, мест и действий, влиявших на доказательство от изъятия до окончательного распоряжения им.