Dès le début de la réponse à incident se pose la question de la collecte de preuves afin de mener à bien les investigations numériques. Rapidement, les problématiques techniques d'échelle, d'hétérogénéité du parc ou de confidentialité font leur apparition. DFIR-ORC tente d'adresser ces sujets en permettant la capture forensique à un instant T d'une machine Windows.
DFIR-ORC est un ensemble d'outils permettant la collecte de données techniques sur un système Windows de manière fiable et efficace. ORC, acronyme d’Outil de Recherche de Compromission, intègre des commandes simplifiant le parsing et la récupération d'artefacts forensiques standards comme les métadonnées NTFS (MFT, USN), les fichiers (même ceux verrouillés par le système) ou encore les éléments de la base de registre.
Sa principale fonctionnalité permet la configuration et l'intégration de commandes de collecte prédéfinies dans un seul et unique exécutable supportant la plupart des versions de Windows.
Dans le cadre de la réponse à incident sur de larges périmètres (milliers d'équipements), la flexibilité d’ORC permet également la recherche d'indicateurs de compromission ou la recherche de menaces à l'échelle d'un système d'information.
Avant de se lancer dans la suite, il est important de préciser qu’ORC n'effectue pas d'analyse, il sert...
- Accédez à tous les contenus de Connect en illimité
- Découvrez des listes de lecture et des contenus Premium
- Consultez les nouveaux articles en avant-première