DiFT un Ubuntu preparado para el análisis forense

Gracias por Compartir

DiFT es una distribución basada en Ubuntu 12.04, como hemos dicho, la cual trae instalado por defecto los paquetes de log2timeline y logstash comúnmente utilizados para este tipo de funciones. Logstash es la herramienta gratuita y de código abierto encargada de recopilar y administrar todos los registros del sistema y log2timeline es la segunda herramienta que va a permitir crear una línea del tiempo con todos los logs que se recopilen para su fácil control.

DiFT también incluye otros paquetes necesarios para la correcta gestión y consulta de los resultados que se recopilen. Kibana es una interfaz web que va a permitir a los administradores consultar los resultados de forma gráfica y remota rápidamente y nos va a permitir filtrarlos, buscar registros concretos, administrarlos, etc.

En resumen, los pasos que hay que seguir para utilizar este sistema forense son:

  • Arrancar DiFT en un ordenador físico o máquina virtual.
  • Con el arranque del sistema arranca elasticsearch, por lo que este módulo no es necesario arrancarlo manualmente.
  • Arrancamos Logstash con “sudo service logstash start”
  • Arrancamos Logstash web con “sudo service logstash-web start”
  • Ejecutamos Firefox y abrimos la dirección 127.0.0.1:9292
  • Si podemos tener acceso a Kibana, nuestra distribución estará lista para comenzar a trabajar.

Foto y Fuente: redeszone

Gracias por Compartir

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *