Abstract: | Abstract :
Digital forensics and Incident Response are vital aspects of cybersecurity. They
play a crucial role in safeguarding organizations from the increasing threat of cyberattacks,
which have become prevalent in the business world. Many services,
including those connected to global networks, face the risk of attacks from hacker
groups and malware. Fortunately, these services keep various logs.
Incident Response focuses on recovering from these attacks, relying on the forensic
investigation, which, in turn, relies on these recorded logs. In this study, we explore
modern methods and tools developed by the research community to simplify
the analysis of these logs. Our aim is to identify the root causes of incidents, ensure
vulnerabilities are addressed, and prevent future attacks.
We will delve into our implementation of PZero Revealer, a tool designed to
analyze Windows event logs stored in an ELK (Elasticsearch, Logstash, Kibana)
server using Elasticsearch. Our tool helps us trace related logon events and various
network connection records. This enables us to identify the first infected machine,
which we refer to as ’Patient Zero.***
Résumé :
La cybercriminalité et la réponse aux incidents sont des aspects essentiels de la
cybersécurité. Ils jouent un rôle crucial dans la protection des organisations contre
la menace croissante des cyberattaques, devenues courantes dans le monde des
affaires. De nombreux services, y compris ceux connectés à des réseaux mondiaux,
sont exposés au risque d’attaques de la part de groupes de pirates informatiques
et de logiciels malveillants. Heureusement, ces services conservent divers journaux.
La réponse aux incidents se concentre sur la récupération après ces attaques, en
s’appuyant sur une enquête médico-légale qui, à son tour, s’appuie sur ces journaux
enregistrés. Dans cette étude, nous explorons les méthodes et les outils modernes
développés par la communauté de recherche pour simplifier l’analyse de ces journaux.
Notre objectif est de réaliser un état de l’art des études récentes concernant les
enquêtes médico-légales sous Windows et l’utilisation de ses fonctionnalités, ainsi que
du journal des événements de Windows. Enfin, nous fournissons une comparaison
utile des performances et de la complexité en résumant les conclusions empiriques
de chaque article et en soulignant les principales différences entre eux. |