Анализ временной шкалы
Что такое Анализ временной шкалы?
Анализ временной шкалыКриминалистический метод, восстанавливающий хронологическую последовательность событий в системе путём сопоставления меток времени файлов, журналов и других артефактов.
Анализ временной шкалы объединяет данные с метками времени из метаданных файловой системы (MACB), журналов событий, ульев реестра, истории браузера, файлов Prefetch и следов приложений в единое упорядоченное представление. Исследователи используют его, чтобы определить, когда началось вторжение, какие файлы были созданы или изменены и как злоумышленник перемещался по среде. Часто применяются log2timeline/Plaso, формирующий супер-таймлайн, а также Autopsy, MFTECmd и KAPE. Аналитик учитывает часовые пояса, отклонения часов и подмену меток (timestomping), сверяя выводы с несколькими независимыми источниками. Метод является ключевым в NIST SP 800-86.
● Примеры
- 01
Построение супер-таймлайна Plaso для скомпрометированного сервера Windows с целью определить первое выполнение вредоносного бинарника.
- 02
Сопоставление событий входа EVTX с временем создания записей в $MFT для подтверждения латерального перемещения.
● Частые вопросы
Что такое Анализ временной шкалы?
Криминалистический метод, восстанавливающий хронологическую последовательность событий в системе путём сопоставления меток времени файлов, журналов и других артефактов. Относится к категории Криминалистика и реагирование в кибербезопасности.
Что означает Анализ временной шкалы?
Криминалистический метод, восстанавливающий хронологическую последовательность событий в системе путём сопоставления меток времени файлов, журналов и других артефактов.
Как защититься от Анализ временной шкалы?
Защита от Анализ временной шкалы обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Анализ временной шкалы?
Распространённые альтернативные названия: Супер-таймлайн, Криминалистическая хронология.