当前位置:首页 > 报告详情

确保事件响应中的数据完整性.pdf

上传人: 可*** 编号:991880 2025-12-07 64页 2.61MB

1、 2025 Stroz Friedberg LLC.All rights reserved.Proprietary.Do not share,copy or use without the express permission of Stroz Friedberg,LLC.Ensuring Data Integrity in Incident Response:Tools and Techniques for Forensically Sound Log ExtractionColin Meek:Consultant,Stroz Friedberg DFIRStroz Friedberg 20

2、25 Stroz Friedberg LLC.All rights reserved.Proprietary.Do not share,copy or use without the express permission of Stroz Friedberg,LLC.Agenda1.Why Log Quality Matters During DFIR Investigations2.Building Log Collection Tools with APIsDocumented+Undocumented3.Verifying the Output of Log Collection Too

3、lsLog Anomaly and Validity Analyzer(LAVA)2025 Stroz Friedberg LLC.All rights reserved.Proprietary.Do not share,copy or use without the express permission of Stroz Friedberg,LLC.colinMeek.lo:No such file or directoryhead colinMeek.lo 2025 Stroz Friedberg LLC.All rights reserved.Proprietary.Do not sha

4、re,copy or use without the express permission of Stroz Friedberg,LLC.Colin MeekConsultant,Stroz Friedberg LLCDigital Forensics and Incident ResponseWashington,DCUVA Computer ScienceCyber Security BackgroundCerts:GCFE,GCFASoftware DevelopmentPenetration TestingDFIRhead colinhead.colinMeek.log 2025 St

5、roz Friedberg LLC.All rights reserved.Proprietary.Do not share,copy or use without the express permission of Stroz Friedberg,LLC.Why Log Quality Matters During DFIR Investigations 2025 Stroz Friedberg LLC.All rights reserved.Proprietary.Do not share,copy or use without the express permission of Stro

6、z Friedberg,LLC.EmailVPNFirewallEDRCloud PlatformsWindows Event LogsLinux SyslogsWebApplicationWhy Log Quality Matters During DFIR Investigations 2025 Stroz Friedberg LLC.All rights reserved.Proprietary.Do not share,copy or use without the express permission of Stroz Friedberg,LLC.Source:AWS CloudTr

word格式文档无特别注明外均可编辑修改,预览文件经过压缩,下载原文更清晰!
三个皮匠报告文库所有资源均是客户上传分享,仅供网友学习交流,未经上传用户书面授权,请勿作商用。
根据报告的内容,全文主要内容概括如下: 1. **日志质量的重要性**:在数字取证和事件响应(DFIR)中,日志质量至关重要,因为原始数据可能受到限制,如云平台和EDR工具的导出限制和过滤限制。 2. **日志收集工具**:构建日志收集工具时,应考虑使用API,包括文档化和非文档化的API。文档化API需要设置认证、创建查询、检查状态、收集事件并验证收集结果。 3. **非文档化API**:对于非文档化API,如Nimbus Core Technologies的LightningLogStore,需要通过设置代理、执行操作、复制请求并识别认证头来实现程序化认证。 4. **日志分析工具**:Log Anomaly and Validity Analyzer (LAVA)是一个用于分析日志的工具,它可以检测时间间隔异常、事件计数异常、字段红化和JSON格式错误。 5. **LAVA功能**:LAVA支持时间戳分析、重复和红action提取、文件哈希、快速模式和事件计数等功能。 6. **LAVA使用**:LAVA可以处理CSV、JSONL和未结构化数据,并提供快速模式以跳过资源密集型功能。
DFIR调查的关键" API的奥秘" 日志异常检测新利器"
客服
商务合作
小程序
服务号
折叠