You signed in with another tab or window. Reload to refresh your session.You signed out in another tab or window. Reload to refresh your session.You switched accounts on another tab or window. Reload to refresh your session.Dismiss alert
Copy file name to clipboardExpand all lines: README.md
+9-7Lines changed: 9 additions & 7 deletions
Display the source diff
Display the rich diff
Original file line number
Diff line number
Diff line change
@@ -6,12 +6,11 @@
6
6
7
7
## Introduction
8
8
9
-
Le serveur de triage a pour but d'automatiser le traitement des collectes effectuées sur les systèmes à investiguer. Il effectue le *processing* de certaines tâches (*timelining* et détection SIGMA notamment) ainsi que le *forwarding* vers les outils d'analyses (pile ELK et Timesketch).
9
+
Le serveur de triage a pour but d'automatiser le traitement des collectes effectuées sur les systèmes à investiguer. Il effectue le *processing* de certaines tâches (*timelining* et détection SIGMA notamment) ainsi que le *forwarding* vers les outils d'analyses (pile ELK et Timesketch si configuré dans config/triage.yaml).
10
10
11
11
Actuellement, le serveur de triage effectue le traitements des collectes suivantes :
12
12
13
13
- KAPE / DFIR-ORC / GENERAPTOR Windows
14
-
- HAYABUSA
15
14
- UAC / GENERAPTOR Linux
16
15
- ADTIMELINE
17
16
- VOLATILITY Windows
@@ -37,13 +36,16 @@ La barre de navigation permet de :
37
36
- Accéder aux collectes en cours de traitement et passées
38
37
- Accéder à la partie "administration"
39
38
- Initialiser la page pour une nouvelle collecte
40
-
- Les liens d'accès à Timesketch et ELK
41
39
42
40
Chaque collecte concerne :
43
41
44
42
- 1 client
45
43
- 1 machine ou tenant
46
44
45
+
<palign="center">
46
+
<imgsrc="docs/images/user_view.png"/>
47
+
</p>
48
+
47
49
### Plugins
48
50
49
51
#### KAPE
@@ -59,7 +61,7 @@ Plusieurs artefacts sont traités si sélectionnés dans l'interface :
59
61
60
62
- Les EVTX sont copiés dans un dossier puis envoyés à la VM Winlogbeat pour indexation
61
63
OU
62
-
- Les EVTX sont parsés puis envoyés à ELK
64
+
- Les EVTX sont parsés (par la lib python) puis envoyés à ELK
63
65
- Les logs IIS seront extraits du vhdx, copiés dans un dossier, parsés puis envoyés à ELK
64
66
- Les timelines Plaso seront créées puis envoyées à Timesketch
65
67
- Parsing MFT
@@ -81,8 +83,8 @@ Plusieurs artefacts sont traités si sélectionnés dans l'interface :
81
83
82
84
- Les EVTX sont copiés dans un dossier puis envoyés à la VM Winlogbeat pour indexation
83
85
OU
84
-
- Les EVTX sont parsés puis envoyés à ELK
85
-
- Les logs IIS seront extraits du vhdx, copiés dans un dossier, parsés puis envoyés à ELK
86
+
- Les EVTX sont parsés (par la lib python) puis envoyés à ELK
87
+
- Les logs IIS seront extraits du ZIP, copiés dans un dossier, parsés puis envoyés à ELK
86
88
- Une timeline Plaso est créée puis envoyée à Timesketch
87
89
- Parsing MFT
88
90
- Parsing USNJrnl
@@ -103,7 +105,7 @@ Plusieurs artefacts sont traités si sélectionnés dans l'interface :
103
105
104
106
- Les EVTX sont copiés dans un dossier puis envoyés à la VM Winlogbeat pour indexation
105
107
OU
106
-
- Les EVTX sont parsés puis envoyés à ELK
108
+
- Les EVTX sont parsés (par la lib python) puis envoyés à ELK
107
109
- Une timeline Plaso est créée puis envoyée à Timesketch
0 commit comments