DiFT un Ubuntu preparado para el análisis forense

DiFT es una distribución basada en Ubuntu 12.04, como hemos dicho, la cual trae instalado por defecto los paquetes de log2timeline y logstash comúnmente utilizados para este tipo de funciones. Logstash es la herramienta gratuita y de código abierto encargada de recopilar y administrar todos los registros del sistema y log2timeline es la segunda herramienta que va a permitir crear una línea del tiempo con todos los logs que se recopilen para su fácil control.

DiFT también incluye otros paquetes necesarios para la correcta gestión y consulta de los resultados que se recopilen. Kibana es una interfaz web que va a permitir a los administradores consultar los resultados de forma gráfica y remota rápidamente y nos va a permitir filtrarlos, buscar registros concretos, administrarlos, etc.

En resumen, los pasos que hay que seguir para utilizar este sistema forense son:

  • Arrancar DiFT en un ordenador físico o máquina virtual.
  • Con el arranque del sistema arranca elasticsearch, por lo que este módulo no es necesario arrancarlo manualmente.
  • Arrancamos Logstash con “sudo service logstash start”
  • Arrancamos Logstash web con “sudo service logstash-web start”
  • Ejecutamos Firefox y abrimos la dirección 127.0.0.1:9292
  • Si podemos tener acceso a Kibana, nuestra distribución estará lista para comenzar a trabajar.

Foto y Fuente: redeszone

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *