Documentation utilisateur Autopsy  4.19.0
Plateforme de criminalistique numérique graphique pour The Sleuth Kit et autres outils.
STIX

Aperçu

Ce document décrit l'utilisation de la fonction STIX d'Autopsy. Cette fonction permet à un ou plusieurs fichiers Structured Threat Information Exchange (STIX) de s'exécuter sur une source de données, indiquant quels indicateurs ont été trouvés dans la source de données. Vous trouverez plus d'informations sur STIX sur https://stix.mitre.org/. Ce document suppose une connaissance de base d'Autopsy.

Démarrage rapide

  1. Créez un cas comme d'habitude et ajoutez une image disque (ou un dossier de fichiers) comme source de données. Pour tirer le meilleur parti du module STIX, assurez-vous que les modules d'acquisition suivants sont sélectionnés:
    • Recent Activity
    • Hash Lookup (Case cochée pour calculer les hachages MD5 même si aucune base de données n'est sélectionnée)
    • File Type Identification
    • Keyword Search (URLs, IP Addresses, et Email addresses)
    • Email Parser
    • Extension Mismatch Detector
  2. Une fois l'image ajoutée et l'acquisition terminée, cliquez sur le bouton "Report" puis sélectionnez STIX. Ensuite, choisissez un seul fichier STIX ou un répertoire de fichiers STIX à exécuter sur l'image. Il est possible de le faire pendant l'acquisition, mais les résultats seront incomplets.
  3. Une fois le module de rapport STIX terminé, il y aura deux ensembles de résultats:
    • Les entrées seront créées sous "Interesting Items" dans l'arborescence Autopsy, avec une sous-rubrique pour chaque indicateur.
    • Un journal des indicateurs/observations trouvés est généré par le module de rapport (Suivez le lien sur la fenêtre "Report Generation Progress")

Objets CybOX supportés

Voir http://cybox.mitre.org pour plus d'informations sur les obkets CybOX.

Limites


Copyright © 2012-2021 Basis Technology. Généré le Lundi 30 Août 2021
Cette documentation est sous licence Creative Commons Attribution-Share Alike 3.0 United States License.