Análisis forense de logs: Mandiant Highlighter

Hola,

Me gustaría dejaros un enlace a otra de las excelentes herramientas que Mandiant pone a disposición de los usuarios sin coste alguno. Se trata de Mandiant Highlighter, y la tenía apuntada en mi to-do desde que el pasado 18 de febrero se liberase la versión 1.0.1 del programa.

Se trata de una sencillísima aplicación para resaltar y localizar cadenas de búsqueda en ficheros (logs, especialmente), así como representar gráficamente las cadenas para facilitar la búsqueda y localización de las mismas. En procesos de análisis forense es frecuente, además de efectuar procesado masivo y completo de registros, inspeccinar logs en busca de patrones determinados y concretos. Desde grep hasta el bloc de notas he visto de todo, y a la hora de efectuar estas tareas, como podéis imaginar, cada maestrillo tiene su librillo.

En esta captura (ampliable aquí) tenéis un sencillo ejemplo de localización de la cadena error: PAM: en un log real /var/log/messages de un sistema FreeBSD. Esta cadena se escribe en el momento que existe un error de autenticación (en este caso, vía sshd) y que por ejemplo, podría servirnos para detectar un patrón de ataque de fuerza bruta de un servidor SSH. La representación gráfica que aparece a la derecha del log puede ayudarnos a encontrar la cadena en el resto del fichero, o ver rápidamente si es una cadena frecuente o no. Hoy me acostaré tranquilo a sabiendas de que el único que se equivoca autenticando sesiones SSH en mi servidor soy yo :)

Una herramienta sencilla, pero bastante útil. Si os interesan más productos forenses Mandiant, echad un ojo a este enlace.

Good job, Mandiant.

---

Sergio Hernando | Powered by WordPress | Theme original de Nathan Rice modificado por Sergio Hernando | Licencia