Recolección de CSIRT es un script de PowerShell para recopilar almacenamiento y análisis forense de disco (triaje) para investigaciones de respuesta a incidentes.
El script aprovecha un recurso compartido de red desde el que accede y copia los archivos ejecutables necesarios, y luego carga la evidencia que ha adquirido en el mismo recurso compartido después de la recopilación.
Los requisitos de permisos para este directorio dependen de los matices del entorno y las credenciales utilizadas para ejecutar el script (interactivo frente a automatización).
Se puede ver una ubicación de red de Synology Collections en el código de demostración. Esto debe cambiarse para reflejar las características específicas de su entorno.
La carpeta de colecciones debe contener:
- Subdirectorio KAPE; copiar el directorio de la instalación existente
- ALMACENAMIENTO del subdirectorio; 7za.exe versión de línea de comandos de 7zip y winpmem.exe
Recolección de CSIRT
- Asignación a unidad de red existente –
- Subdirectorio 1: «Almacenamiento» – archivos ejecutables Winpmem y 7zip
- Subdir 2: ”KAPE” – directorio (copiado de la instalación local)
- Crea un directorio local en Activo
- Copia los archivos exe de la memoria en el directorio local
- Captura memoria con Winpmem
- Cuando haya terminado, el volcado de memoria se comprimirá
- Cambia el nombre del archivo zip según el nombre de host
- Documente la información de compilación del sistema operativo (no es necesario perfilar la volatilidad)
- La imagen comprimida se copia en el directorio de red y se elimina del host cuando se completa la transferencia.
- Nuevo directorio temporal adjunto para la salida de KAPE
- La colección KAPE! SANS_Triage se ejecuta con VHDX como formato de salida [$hostname.vhdx]
- Transferencias VHDX a la red
- Elimina el directorio KAPE local al finalizar
- Escribe un archivo de texto «Proceso completo» en la red para indicar a los investigadores que la colección está lista para su análisis.
CSIRT-Collect_USB
Básicamente, la misma funcionalidad que CSIRT-Collect.ps1 con la excepción de que está diseñado para ejecutarse desde un dispositivo USB. Se han eliminado las operaciones de compresión adicionales para el volcado de memoria y KAPE .vhdx. Hay un ligero cambio en la estructura de carpetas para la versión USB. En la raíz del USB:
- CSIRT-Collect_USB.ps1
- Carpeta (vacía para empezar) con el título ‘Colecciones’
- Carpetas para KAPE y memoria – como arriba
Ejecución: -Abrir PowerShell como administrador -Navegar al dispositivo USB -Ejecutar ./CSIRT-Collect_USB.ps1