Lexhunt

Lors d’une réponse à incident de sécurité numérique, les analystes forensiques travaillent sur des éléments de preuve provenant de sources variées (ex. : copies de disques, collectes issues d’outils, journaux systèmes et réseaux, etc.). LexHunt permet aux analystes du CSIRT LEXFO de traiter rapidement, efficacement et de manière normalisée tous ces artefacts afin de remplir l’un des objectifs des investigations numériques, à savoir retracer dans le temps le mode opératoire des attaquants depuis la compromission initiale jusqu’à sa détection.

+220

 Tyes d’artefacts supportés

38

Filtres d’enrichissement de données

150

Éléments de visualisations

Enjeux

Outil de traitement des artefacts et d’investigations numériques

Lors d’une réponse à incident de sécurité numérique, les analystes forensiques travaillent sur des éléments de preuve provenant de sources variées (ex. : copies de disques, collectes issues d’outils, journaux systèmes et réseaux, etc.).

LexHunt permet aux analystes du CSIRT LEXFO de traiter rapidement, efficacement et de manière normalisée tous ces artefacts afin de remplir l’un des objectifs des investigations numériques, à savoir retracer dans le temps le mode opératoire des attaquants depuis la compromission initiale jusqu’à sa détection.

Approche

Compatibilité maximale

  • Gestion native des copies de disques (dumps bit-à-bit ou clones de VM) et des journaux (fichiers plats)
  • Compatible avec les collectes réalisées à l’aide de l’outil DFIR-ORC (https://dfir-orc.github.io/)
  • Traitement de traces Windows et Linux

Automatisation et rapidité

  • Construction automatisée de timelines en se basant sur les artefacts disponibles
  • Un découpage selon six filtres d’artefacts afin d’optimiser le temps de traitement et fournir plus rapidement les premières timelines aux analystes
  • Un outil en Python 3 développé(*) en interne, par et pour les analyses du CSIRT LEXFO
  • (*) LexHunt s’appuie sur d’autres outils Open Source auxquels s’ajoutent les développements du CSIRT LEXFO

Enrichissement des données

  • Des traces consolidées par leurs métadonnées selon leur provenance et leur type
  • Implémentation de 38 filtres (9100 lignes) personnalisés et enrichis par l’expérience du CSIRT LEXFO pour consolider les données collectées
  • Plus de 220 types de données (datatype) pris en charge par l’enrichissement des traces
  • Des descriptions d’événements uniformisées (en anglais) pour une meilleure lecture des rapports d’investigation

Investigations optimisées

  • Une stack ELK(*) pour l’import, le stockage et l’analyse des éléments de preuve
  • Plus de 10 tableaux de bord et 150 éléments de visualisation pour accélérer les investigations
  • Des procédures internes permettant aux analystes du CSIRT LEXFO d’isoler rapidement les premiers résultats des investigations
  • (*) Elasticsearch Logstatsh Kibana

Plateforme

CSIRT-LEXFO_LexHunt_Overview
CSIRT-LEXFO_LexHunt_Windows-LocalSessionManager
CSIRT-LEXFO_LexHunt_Windows-Security-Auditing
CSIRT-LEXFO_LexHunt_Windows-Task-Scheduler

Plateformes technologiques 

Dilitrack