Skip to content

Análisis forense de logs: Mandiant Highlighter

Publicado por Sergio Hernando el 28 febrero 2009

Hola,

Me gustaría dejaros un enlace a otra de las excelentes herramientas que Mandiant pone a disposición de los usuarios sin coste alguno. Se trata de Mandiant Highlighter, y la tenía apuntada en mi to-do desde que el pasado 18 de febrero se liberase la versión 1.0.1 del programa.

Se trata de una sencillísima aplicación para resaltar y localizar cadenas de búsqueda en ficheros (logs, especialmente), así como representar gráficamente las cadenas para facilitar la búsqueda y localización de las mismas. En procesos de análisis forense es frecuente, además de efectuar procesado masivo y completo de registros, inspeccinar logs en busca de patrones determinados y concretos. Desde grep hasta el bloc de notas he visto de todo, y a la hora de efectuar estas tareas, como podéis imaginar, cada maestrillo tiene su librillo.

mandiant highlighter

En esta captura (ampliable aquí) tenéis un sencillo ejemplo de localización de la cadena error: PAM: en un log real /var/log/messages de un sistema FreeBSD. Esta cadena se escribe en el momento que existe un error de autenticación (en este caso, vía sshd) y que por ejemplo, podría servirnos para detectar un patrón de ataque de fuerza bruta de un servidor SSH. La representación gráfica que aparece a la derecha del log puede ayudarnos a encontrar la cadena en el resto del fichero, o ver rápidamente si es una cadena frecuente o no. Hoy me acostaré tranquilo a sabiendas de que el único que se equivoca autenticando sesiones SSH en mi servidor soy yo :)

Una herramienta sencilla, pero bastante útil. Si os interesan más productos forenses Mandiant, echad un ojo a este enlace.

Good job, Mandiant.

Be Sociable, Share!

Categoría/s → Forensics

Un comentario
  1. 1 marzo 2009
    RLopez permalink

    Gracias por la información, realmente necesitaba algo así para sumergirme dentro de mis logs en un servidor proxy.
    Saludos

Escribir un comentario

Note: XHTML permitido. Tu email nunca será publicado.

Suscribirse a los comentarios via RSS

Este sitio web utiliza cookies para que usted tenga la mejor experiencia de usuario. Si continua navegando esta dando su consentimiento para la aceptacion de las mencionadas cookies y la aceptacion de nuestra politica de cookies, pinche el enlace para mayor informacion.plugin cookies

ACEPTAR
Aviso de cookies