Комментарии 7
Конкретный пользователь на хосте запускал ту или иную программу.
настроить аудит процессов и отсылать на централизованный сервер логов уже не модно ?
Ситуация:
Вы централизованно собираете логи. Глубина хранения - n месяцев.
Вы выявляете инцидент ИБ, в процессе расследования Вам потребовались логи с хоста Х за n+1 месяцев.
Ваши действия?
Глубина хранения - n месяцев.
сколько ? срок давности по гражданским делам в РФ - 3 года.
сроки давности по средней уголовщине - от 5 лет, но надо уточнять у юристов.
прогресс в технологиях хранения - позволяет вообще не стирать логи,
если вовремя обновлять железо.
предлагаю вам исходить из этих предпосылок, а не из "n+1".
спасибо за внимание.
Штамп времени для ключа можно получить, например, после его экспорта в текстовый файл средствами regedit или через PowerShell.
Странно что не упомянут самый удобный вариант - плагины к FAR для работы с реестром всегда умели показывать время модификации ключей реестра, при этом доступна сортировка по времени, что в плане разбора инцидентов особенно ценно.
На NirSoft это собирали в exe
https://www.nirsoft.net/utils/recent_files_view.html
https://www.nirsoft.net/utils/computer_activity_view.html
https://www.nirsoft.net/utils/usb_devices_view.html
Ну и прочего. Но да, там просто работает, а тут понятно как, и как это очистить.
Вроде были десятки книг по этому поводу... а тут - новость...
Кстати, любое существовавшее в системе устройство остается в реестре. И в регеедит лезть не надо - поставить переменную DEVMGR_SHOW_NONPRESENT_DEVICES в 1 и запустить менеджер устройств с включенным показом скрытых.
Тут можео увидеть и если флэшки подключались или модемы и виртуальные дрова , если вирус прикилывался таковыми.
О чём не молчит Windows. Погружение в Windows Registry Forensic