#159. ChainsawのLinux版【紹介のみ】
ChainsawとはWindows OSのログつまりEventLogのフォレンジックツールです。NECが取り扱っているようです。
https://jpn.nec.com/cybersecurity/blog/220408/index.html
さて投稿者はLinux版を作るという。当然ながらRHELでもDevianでもEventlogは存在しません。
Githubを見ますと大量のYAMLファイルが格納されています。YAMLはAnsibleかCFnくらいでしか、見た事はありません。
おそらくrsyslog等が対象なのでしょう。
https://github.com/M00NLIG7/ChopChopGo
ほかにライブフォレンジックという、聞き慣れない用語がメンター間で飛び交っています。ライブフォレンジックについては、例によってSOMPO SECURITYの用語集を見て調べました。
https://www.sompocybersecurity.com/column/glossary/live-forensics
「ライブ・フォレンジック(Live Forensic)とは、運用中のシステムからフォレンジック・アーティファクトを取得し解析するフォレンジック手法です。
従来のデジタル・フォレンジックが、本体の電源をシャットダウンした後にイメージコピーを行うのに対し(デッドボックス・フォレンジック)、ライブ・フォレンジックは稼働中のコンピュータをそのまま遠隔から複製するため、Live Response、Live Acquisitionとも呼ばれます。」
他に、トリアージに使えるか? という質問にはYesと回答しています。
わたくしもこのようなツールをいつか開発してみたいという野望がありますが、なかなかできません。