Timeline Analysis — Reconstituer les événements
★★★★★
Pourquoi la timeline ?
La timeline reconstitue chronologiquement tous les événements sur un système : créations/modifications/accès de fichiers, connexions, exécutions de processus, logs. Elle permet d'identifier le vecteur initial d'attaque et de comprendre la progression de l'attaquant.
Construire une timeline
# Plaso (log2timeline) : tout en un
log2timeline.py --storage-file timeline.plaso /image.dd
psort.py -o dynamic timeline.plaso > timeline.csv
# Sleuth Kit + mactime
fls -r -m / -o 2048 disk.img > body.txt
mactime -b body.txt -d 2024-01-01 2024-01-31 > january.csv
# Event logs uniquement
hayabusa csv-timeline -d evtx/ -o events.csv
# Visualiser
# Timeline Explorer (Eric Zimmermann)
# Timesketch (Google, web-based) Timestamps à connaître
MACE : Modified, Accessed, Created, Entry Modified
$STANDARD_INFORMATION vs $FILE_NAME (anti-forensics)
# Manipulation de timestamps (timestomping)
touch -t 202001010000 fichier # changer les timestamps
# Signe d alerte : $SI plus ancien que $FN