4.3 KiB
TimesketchにHayabusa結果をインポートする方法
Timesketchについて
"Timesketchは、フォレンジックタイムラインの共同解析のためのオープンソースツールです。スケッチを使うことで、あなたとあなたの共同作業者は、簡単にタイムラインを整理し、同時に分析することができます。リッチなアノテーション、コメント、タグ、スターで生データに意味を持たせることができます。"
インストール
Ubuntu 22.04 LTS Serverエディションの使用を推奨します。
こちらからダウンロードできます。
セットアップ時にミニマルインストールを選択してください。
ifconfigはインストールされていないので、sudo apt install net-toolsでインストールしてください。
その後、インストール手順こちらに従ってください:
sudo apt install docker-compose
curl -s -O https://raw.githubusercontent.com/google/timesketch/master/contrib/deploy_timesketch.sh
chmod 755 deploy_timesketch.sh
cd /opt
sudo ~/deploy_timesketch.sh
cd timesketch
sudo docker-compose up -d
sudo docker-compose exec timesketch-web tsctl create-user <USERNAME>
準備されたVM
Recon InfoSec主催の2022年のDEF CON 30 OpenSOC DFIR Challengeのエビデンスに対して使用できるデモ用VMを事前に構築しています。 (エビデンスは既にインポート済み。) こちらからダウンロードできます。 このチャレンジの他のエビデンスはこちらからダウンロードできます。 問題はこちらからダウンロードできます。
VMのユーザ名はuser。パスワードはpassword。
ログイン
ifconfigでIPアドレスを調べ、Webブラウザで開いてください。
以下のようなログインページに移動されます:
docker-composeコマンドで作成したユーザの認証情報でログインしてください。
新しいsketch作成
New investiationをクリックし、新しいスケッチに名前を付けます。
タイムラインのアップロード
Upload timelineをクリックし、以下のコマンドで作成したCSVファイルをアップロードします:
hayabusa-1.5.1-win-x64.exe -d ../hayabusa-sample-evtx --RFC-3339 -o timesketch-import.csv -P timesketch -U
Windowsのイベントを含めず、アラートだけでよい場合は、-m lowを追加することができます。
結果の解析
以下のような画面が表示されるはずです:
デフォルトでは、UTCタイムスタンプとアラートルールのタイトル名のみが表示されますので、Customize columnsをクリックし、他のフィールドを追加してください。
注意: 現在のバージョンでは、新しいカラムが空白になってしまうというバグがあります。新しいカラムを表示するには、別のカラムをまず追加してください(必要なければ後で削除してください。)
以下のように検索ボックスでLevel: crit等を入力することで、クリティカルなアラートのみを表示させるようにフィルタリングできます。
イベントをクリックすると、すべてのフィールド情報を見ることができます:
アラートタイトルの左側にある3つのアイコンを使って、興味のあるイベントにスターをつけたり、イベントの文脈を見るために+-5分検索したり、ラベルを追加したりすることが可能です。
