Skip to content

Análisis forense de logs: Mandiant Highlighter

Publicado por Sergio Hernando el 28 febrero 2009

Hola,

Me gustaría dejaros un enlace a otra de las excelentes herramientas que Mandiant pone a disposición de los usuarios sin coste alguno. Se trata de Mandiant Highlighter, y la tenía apuntada en mi to-do desde que el pasado 18 de febrero se liberase la versión 1.0.1 del programa.

Se trata de una sencillísima aplicación para resaltar y localizar cadenas de búsqueda en ficheros (logs, especialmente), así como representar gráficamente las cadenas para facilitar la búsqueda y localización de las mismas. En procesos de análisis forense es frecuente, además de efectuar procesado masivo y completo de registros, inspeccinar logs en busca de patrones determinados y concretos. Desde grep hasta el bloc de notas he visto de todo, y a la hora de efectuar estas tareas, como podéis imaginar, cada maestrillo tiene su librillo.

mandiant highlighter

En esta captura (ampliable aquí) tenéis un sencillo ejemplo de localización de la cadena error: PAM: en un log real /var/log/messages de un sistema FreeBSD. Esta cadena se escribe en el momento que existe un error de autenticación (en este caso, vía sshd) y que por ejemplo, podría servirnos para detectar un patrón de ataque de fuerza bruta de un servidor SSH. La representación gráfica que aparece a la derecha del log puede ayudarnos a encontrar la cadena en el resto del fichero, o ver rápidamente si es una cadena frecuente o no. Hoy me acostaré tranquilo a sabiendas de que el único que se equivoca autenticando sesiones SSH en mi servidor soy yo :)

Una herramienta sencilla, pero bastante útil. Si os interesan más productos forenses Mandiant, echad un ojo a este enlace.

Good job, Mandiant.

Be Sociable, Share!

Categoría/s → Forensics

Un comentario
  1. 1 marzo 2009
    RLopez permalink

    Gracias por la información, realmente necesitaba algo así para sumergirme dentro de mis logs en un servidor proxy.
    Saludos

Escribir un comentario

Note: XHTML permitido. Tu email nunca será publicado.

Suscribirse a los comentarios via RSS