Análisis excelente: consejos y trucos para analizar datos con Microsoft Excel

Las investigaciones de respuesta a incidentes no siempre involucran artefactos estándar basados ​​en host con herramientas de análisis y análisis completamente desarrolladas. En FireEye Mandiant, con frecuencia encontramos incidentes que involucran una serie de sistemas y soluciones que utilizan registros personalizados o datos de artefactos. Determinar lo que sucedió en un incidente implica sumergirse en cualquier tipo de datos que se nos presenten, aprender sobre ellos y desarrollar una forma eficiente de analizar la evidencia importante. Una de las herramientas más efectivas para realizar este tipo de análisis es una que se encuentra en el kit de herramientas de casi todos: Microsoft Excel. En este artículo detallaremos algunos consejos y trucos con Excel para realizar análisis cuando se presenten cualquier tipo de datos. Herramientas como FireEye Redline incluyen prácticas funciones de línea de tiempo para combinar múltiples tipos de artefactos en una línea de tiempo concisa. Cuando usamos analizadores individuales o formatos de artefactos personalizados, puede ser complicado ver múltiples tipos de datos en la misma vista.

La normalización de datos de artefactos con Excel a un conjunto específico de columnas fáciles de usar permite una combinación fluida de diferentes tipos de artefactos. Considere intentar revisar el sistema de archivos analizado, el registro de eventos y los datos del Registro en la misma vista utilizando los siguientes datos. Se intentó iniciar sesión con credenciales explícitas. Dado que estos conjuntos de datos de artefactos sin procesar tienen encabezados de columna y tipos de datos diferentes, sería difícil revisarlos en una sola línea de tiempo. Si formateamos los datos usando la concatenación de cadenas de Excel, podemos hacer que los datos sean fáciles de combinar en una sola vista de línea de tiempo. Para formatear los datos, podemos usar la operación "&" con una función para unir información que podamos necesitar en un campo "Resumen". D2 & "|" & C2 & "|" & E2 & "|" & F2 & "|" & G2 & "|" & H2 ". Combinando esta función de formato con una columna" Timestamp "y" Timestamp Type "se completará todo lo que necesitamos para un análisis simplificado.

4648|Se intentó iniciar sesión con credenciales explícitas. VictimUser "a través de RDP en tres tipos de artefactos. Uno de los elementos más críticos de la respuesta a incidentes y el análisis forense es el cronograma. El análisis temporal a menudo arrojará nueva evidencia al identificar eventos que preceden o siguen a un evento de interés. Igualmente crítico es producir un línea de tiempo precisa para la presentación de informes. Las marcas de tiempo y las zonas horarias pueden ser frustrantes, y las cosas pueden ser confusas cuando los sistemas que se analizan abarcan varias zonas horarias. Mandiant rastrea todas las marcas de tiempo en formato de Tiempo Universal Coordinado (UTC) en sus investigaciones para eliminar cualquier confusión de ambos tiempos zonas y ajustes de hora, como el horario de verano y las temporadas regionales de verano. Por supuesto, varias fuentes de evidencia no siempre registran la hora de la misma manera. Algunas pueden ser la hora local, otras pueden ser UTC y, como se mencionó, datos de fuentes en varias zonas geográficas lugares complica aún más las cosas. Al compilar líneas de tiempo, es importante saber primero si la fuente de evidencia está registrada en UTC o en la hora local.

Si se registra en la hora local, debemos confirmar de qué zona horaria local proviene la fuente de evidencia. Luego, podemos usar la fórmula Excel TIME () para convertir marcas de tiempo a UTC según sea necesario. Este escenario de ejemplo se basa en una investigación real en la que la organización objetivo se vio comprometida por correo electrónico de phishing, y la información de depósito directo de los empleados se modificó a través de una aplicación interna de RR. En esta situación, tenemos tres fuentes de registro: registros de recibos de correo electrónico, inicios de sesión de aplicaciones y registros web de aplicaciones. Aquí es donde es crítico verificar nuestras zonas horarias para cada fuente de datos. Tal como está la captura de pantalla anterior, tenemos algunos eventos de inicio de sesión en la aplicación de recursos humanos, que puede parecer una actividad normal para los empleados. Luego, más tarde en el día, reciben algunos correos electrónicos sospechosos. Si se tratara de cientos de líneas de eventos de registro, correríamos el riesgo de que se pasen por alto el inicio de sesión y los eventos de registro web, ya que el tiempo de actividad precede unas pocas horas a nuestro supuesto vector de compromiso inicial.

Si esta fuera una línea de tiempo utilizada para informar, también sería inexacta. Cuando sabemos en qué zona horaria se encuentran nuestras fuentes de registro, podemos ajustar las marcas de tiempo en consecuencia para reflejar UTC. En este caso, confirmamos mediante pruebas que los inicios de sesión de la aplicación y los registros web se registran en EDT, que está cuatro horas por detrás de UTC o "UTC-4". Para cambiar estos a la hora UTC, solo necesitamos agregar cuatro horas a la hora. La función Excel TIME lo hace fácil. A2- Celda de referencia A2 (en este caso nuestra marca de tiempo EDT). Tenga en cuenta que esta no es una referencia absoluta, por lo que podemos usar esta fórmula para el resto de las filas. La función TIME en este caso requiere tres valores, que son, de izquierda a derecha: horas, minutos, segundos. En este ejemplo, estamos agregando 4 horas, 0 minutos y 0 segundos. Ahora tenemos una fórmula que toma la marca de tiempo EDT y agrega cuatro horas para que sea UTC.

Etiquetas:

Deja un comentario

A %d blogueros les gusta esto: