Repositorio central

Visión general

El repositorio central permite al usuario encontrar artefactos coincidentes tanto en los casos como en las fuentes de datos en el mismo caso. Es una combinación de un módulo de ingesta que extrae, almacena y compara propiedades con listas de propiedades notables, una base de datos que almacena estas propiedades y un panel adicional en Autopsia para mostrar otras instancias de cada propiedad. La base de datos del repositorio central puede ser SQLite o PostgreSQL.

Los siguientes son algunos casos de uso para el repositorio central:

  • Encontrar otras instancias de una propiedad
    • Si navega a un archivo o artefacto de autopsia (como un elemento del historial web), hay un visor de contenido en la parte inferior derecha que le mostrará otras instancias de esta propiedad a través de los datos almacenados en el repositorio central.
  • Alertas cuando se producen propiedades anteriormente notables
    • Puede usar el repositorio central para registrar qué propiedades se asociaron con archivos y artefactos que eran evidencia (o notables). Una vez que estas propiedades se hayan etiquetado como notables, se agregarán a la sección Artículos interesantes del árbol cuando se vuelvan a ver en futuros casos.
  • Almacenamiento de conjuntos de hash
    • Puede crear e importar conjuntos de hash en el repositorio central en lugar de usar copias locales en el módulo Hash Lookup . Estos conjuntos de hash son funcionalmente equivalentes a los conjuntos de hash locales, pero se pueden compartir entre múltiples analistas (cuando se utiliza un repositorio central de PostgreSQL).

Términos y conceptos

  • Repositorio central : la función de autopsia que contiene la base de datos del repositorio central y el módulo de ingestión del motor de correlación. También es responsable de mostrar propiedades correlacionadas al usuario
  • Base de datos del repositorio central : la base de datos SQLite o PostgreSQL que contiene todos los datos
  • Módulo de ingesta del motor de correlación: el módulo de ingesta responsable de agregar nuevas propiedades a la base de datos y comparar estas propiedades con las propiedades notables existentes
  • Propiedad : los datos que se almacenan / correlacionan. Estos pueden ser rutas de archivos / hash MD5, direcciones de correo electrónico, números de teléfono, etc.

Preparar

Para comenzar, abra el panel de opciones principal y seleccione el icono «Repositorio central».

central_repo_options.png

Configurar la base de datos

En el panel de opciones del repositorio central, marque la opción ‘Usar un repositorio central’ y luego haga clic en el botón Configurar para configurar una base de datos. Aquí hay dos opciones:

  • SQLite : esta opción almacena la base de datos en un archivo. Solo debe usarse cuando un solo cliente accederá a la base de datos.
  • PostgreSQL : esta opción utiliza un servidor de base de datos que se ejecuta en el host del usuario o en un servidor remoto. Esta opción debe usarse si varios usuarios usarán la misma base de datos.

Una vez que se ha configurado una base de datos, se habilitarán los dos botones inferiores del panel principal, que se describirán a continuación.

Configuración de la implementación de PostgreSQL

Si es necesario, consulte Instalar y configurar PostgreSQL para obtener ayuda para configurar su servidor PostgreSQL.

Para PostgreSQL todos los valores son obligatorios, pero se proporcionan algunos valores predeterminados para mayor comodidad.

central_repo_postgres.png
  • Nombre de host / IP es el nombre de host o IP de su servidor PostgreSQL.
  • Puerto es el puerto en el que el servidor PostgreSQL está escuchando; el valor predeterminado es 5432.
  • Nombre de usuario es un usuario de PostgreSQL que puede crear y modificar bases de datos
  • La contraseña del usuario es la contraseña del usuario.

Si la base de datos no existe, se le pedirá que la cree.

Configurar la implementación de SQLite

Seleccione SQLite en el Tipo de base de datos para configurar una base de datos SQLite. Las bases de datos SQLite no deben usarse si más de un cliente accederá al repositorio central.

central_repo_sqlite.png

Ingrese o busque una carpeta para la base de datos. Si el archivo de la base de datos no existe en esa carpeta, se le pedirá que lo cree.

Administrar propiedades de correlación

El módulo de ingesta del motor de correlación puede guardar diferentes tipos de propiedades en la base de datos. De forma predeterminada, todas las propiedades se registran, pero esta configuración se puede cambiar en el panel de opciones a través del botón Administrar propiedades de correlación. Tenga en cuenta que esta configuración se guarda en la base de datos, por lo que en una configuración multiusuario, cualquier cambio afectará a todos los usuarios.

central_repo_types.png

Descripciones de los tipos de propiedad:

  • Archivos
    • Los archivos están correlacionados según el hash MD5 y la ruta y el nombre del archivo. El módulo de ingesta Hash Lookup debe estar habilitado.
  • Dominios
    • Los dominios se extraen de los diversos artefactos web, que provienen principalmente del módulo Actividad reciente
  • Correos electrónicos
    • Las direcciones de correo electrónico se extraen de los aciertos de la dirección de correo electrónico del módulo de búsqueda de palabras clave.
  • Números de teléfono
    • Actualmente, los números de teléfono solo se extraen de registros de llamadas, listas de contactos y mensajes, que provienen del módulo Android Analyzer.
  • Dispositivos USB
    • Las propiedades del dispositivo USB provienen del análisis del registro en el Módulo de actividad reciente.
  • Redes inalámbricas
    • Las redes inalámbricas están correlacionadas en SSID y provienen del análisis del registro en el Módulo de actividad reciente.
  • Direcciones MAC
    • Las propiedades de la dirección MAC actualmente solo son creadas por módulos de autopsia personalizados
  • Número IMEI
    • Las propiedades de IMEI actualmente solo se crean mediante módulos de autopsia personalizados
  • Número IMSI
    • Las propiedades IMSI actualmente solo se crean mediante módulos de autopsia personalizados
  • Número de ICCID
    • Las propiedades de ICCID actualmente solo son creadas por módulos de autopsia personalizados

Administrar organizaciones

Las organizaciones se almacenan en el repositorio central y contienen información de contacto para la organización dada. Las organizaciones se utilizan para los conjuntos de hash guardados en el repositorio central, y también se pueden asociar con casos de autopsia.

central_repo_orgs.png

Una organización predeterminada, «No especificado», siempre estará presente en la lista. Se pueden crear, editar y eliminar nuevas organizaciones mediante los botones correspondientes. Tenga en cuenta que no se puede eliminar ninguna organización que esté actualmente en uso por un caso o un conjunto hash. Todos los campos, aparte del nombre de la organización, son opcionales.

central_repo_new_org.png

Administrar casos

Muestra una lista de todos los casos que se encuentran en la base de datos del repositorio central y detalles sobre cada caso.

central_repo_details.png

Usando el repositorio central

Módulo de motor de correlación

El módulo de ingesta del motor de correlación es responsable de agregar propiedades a la base de datos y comparar cada propiedad con la lista de propiedades notables. Es mejor ejecutar todos los módulos de ingesta para aprovechar al máximo el motor de correlación. Por ejemplo, si Hash Lookup no se ejecuta, el módulo Correlation Engine no colocará ningún archivo en la base de datos. Si el módulo del motor de correlación no se ejecuta en un caso particular, pero se habilita un repositorio central, todavía habrá algunas funcionalidades limitadas. El Visor de contenido seguirá mostrando propiedades coincidentes de otros casos / fuentes de datos donde se ejecutó el motor de correlación.

central_repo_ingest_settings.png

Hay tres configuraciones para el módulo de ingesta del motor de correlación:

  • Guardar elementos en el repositorio central : esto solo debe desmarcarse en el raro caso de que no desee agregar ninguna propiedad del origen de datos actual al repositorio central, pero aún así desee marcar sucesos pasados.
  • Marcar elementos previamente etiquetados como notables : al habilitar esto, se crean artefactos de elementos / archivos interesantes cuando se encuentran propiedades que coinciden con las marcadas previamente . Consulte la siguiente sección Etiquetado de archivos y artefactos para obtener más detalles.

  • Marcar dispositivos vistos anteriormente : cuando esto está habilitado, se creará un artefacto de elemento interesante si se encuentra alguna propiedad relacionada con el dispositivo (USB, dirección MAC, IMSI, IMEI, ICCID) que ya está en el repositorio central, independientemente de si tienen ha sido marcado

Etiquetado de archivos y artefactos

Etiquetar un archivo o artefacto con una etiqueta «notable» cambiará su propiedad asociada en el repositorio central a notable también. Por defecto, habrá una etiqueta llamada «Elemento notable» que se puede utilizar para este propósito. Consulte la página Etiquetado para obtener más información sobre cómo crear etiquetas adicionales con un estado notable. Cualquier ingesta futura de fuente de datos (donde este módulo esté habilitado) usará esas propiedades notables de manera similar a un conjunto de hash de Mal conocido, lo que hará que los archivos y artefactos coincidentes de esa ingesta se agreguen a la lista de Elementos interesantes en ese caso actualmente abierto.

central_repo_tag_file.png

Si una etiqueta se agrega accidentalmente a un archivo o artefacto, se puede eliminar a través del menú contextual. Esto eliminará el estado notable de su propiedad en el repositorio central.

Si desea evitar que se creen los elementos interesantes en un caso particular, puede deshabilitar el marcado a través de las propiedades de ingesta de tiempo de ejecución. Tenga en cuenta que esto solo deshabilita los resultados del elemento interesante: todas las propiedades aún se agregan al repositorio central.

central_repo_ingest_settings.png

Ver resultados

Los resultados de habilitar un repositorio central y ejecutar el Módulo de ingestión del motor de correlación se pueden ver en dos lugares:

  • El Visor de contenido para cada archivo o artefacto mostrará todas las propiedades coincidentes de otros casos / fuentes de datos
  • El nodo Archivos interesantes del árbol de resultados contendrá cualquier archivo o resultado que coincida con propiedades previamente marcadas como notables

Visor de contenido

El visor de contenidopanel es donde se muestran las instancias anteriores de propiedades. Sin un repositorio central habilitado, este panel «Otras ocurrencias» mostrará archivos con hashes que coinciden con el archivo seleccionado dentro del caso actual. La habilitación de un repositorio central permite que este panel también muestre propiedades coincidentes almacenadas en la base de datos y agrega algunas funcionalidades a la fila. Tenga en cuenta que el módulo de ingesta del motor de correlación no tiene que haberse ejecutado en la fuente de datos actual para ver las propiedades correlacionadas del repositorio central. Si el archivo o artefacto seleccionado está asociado por uno de los Tipos de correlación compatibles, a una o más propiedades en la base de datos, se mostrarán las propiedades asociadas. Nota: el Visor de contenido mostrará TODAS las propiedades asociadas disponibles en la base de datos. Ignora al usuario ‘

Las otras ocurrencias se agrupan por caso y luego por fuente de datos. Al seleccionar uno de los resultados, aparece información sobre él en la columna derecha. Si un archivo o artefacto se marcó previamente como notable, verá «notable» en rojo junto a «Estado conocido».

central_repo_content_viewer.png

El usuario puede hacer clic en cualquier encabezado de columna para ordenar por los valores de esa columna.

Si el usuario selecciona una entrada en la tercera columna y luego hace clic derecho, se mostrará un menú. Este menú tiene varias opciones.

  1. Exportar todas las demás ocurrencias a CSV
  2. Mostrar detalles del caso
  3. Mostrar frecuencia

Exportar todas las demás ocurrencias a CSV

Esta opción guardará cualquier otra ocurrencia en la tabla del Visor de contenido en un archivo CSV. De manera predeterminada, el archivo CSV se guarda en el directorio Exportar dentro del caso de Autopsia actualmente abierto, pero el usuario es libre de seleccionar una ubicación diferente.

Mostrar detalles del caso

Esta opción abrirá un cuadro de diálogo que muestra todos los detalles relevantes para el caso seleccionado. Los detalles incluirán:

  • Caso UUID
  • Nombre del caso
  • Fecha de creación del caso
  • Información de contacto del examinador de casos
  • Notas del examinador del caso

El examinador del caso seleccionado habría ingresado estos detalles al crear el caso o más tarde visitando el menú Caso -> Propiedades del caso.

Mostrar frecuencia

Esto muestra qué tan común es el archivo seleccionado. El valor es el porcentaje de tuplas de caso / origen de datos que tienen la propiedad seleccionada.

Añadir / Editar comentario

Si, en cambio, desea editar el comentario de un nodo, puede hacerlo haciendo clic derecho en el elemento original en el visor de resultados y seleccionando «Agregar / Editar comentario del repositorio central».

central_repo_comment_menu.png

Artículos interesantes

En el árbol de resultados de un caso abierto hay una entrada llamada Elementos interesantes. Cuando este módulo está habilitado, todas las Propiedades correlacionables habilitadas harán que se agreguen archivos y artefactos coincidentes a este árbol de Artículos interesantes durante la ingesta.

central_repo_interesting_items.png

Como ejemplo, suponga que la propiedad Correlatable de archivos está habilitada y que la ingesta está procesando actualmente un archivo «badfile.exe», y que el hash MD5 para ese archivo ya existe en la base de datos como una propiedad de archivo notable. En este caso, se agregará una entrada en el árbol Elementos interesantes para la instancia actual de «badfile.exe» en la fuente de datos que se está ingiriendo actualmente.

Sucederá el mismo tipo de cosas para cada propiedad correlacionada habilitada.

En el caso del tipo correlacionable de número de teléfono, el árbol de Artículos interesantes comenzará un subárbol para cada número de teléfono. El subárbol contendrá cada instancia de ese número de teléfono notable.

También podría gustarte

Curso completo de FreeNas gratuito.

Posted On : 12 septiembre, 2016

Transformar una máquina física en una máquina virtual

Posted On : 11 abril, 2016

Arranque dual con dos sistemas operativo en dos discos duros distintos sin tocar la Bios

Posted On : 5 septiembre, 2019

Solución Error: El nombre NetBIOS del equipo no coincide con el nombre de host Dns

Posted On : 21 marzo, 2017

Permisos de los usuarios en linux

Posted On : 4 abril, 2019