Blog

Produktmerkmale

Benutzerdefinierte Zielorte mit Magnet AXIOM Cyber

In diesem Blog erläutern wir, wie Ermittler mit AXIOM Cyber nun ihre eigenen benutzerdefinierten Zielorte erstellen können. Da Sie damit nicht mehr im Dateibaum nach Artefakten suchen müssen, die häufig bei der Fallbearbeitung benötigt werden, sparen Sie Zeit.

Wenn Sie noch keine Gelegenheit hatten, AXIOM Cyber auszuprobieren, fordern Sie hier eine kostenlose Testversion an. Und für diejenigen, die AXIOM Cyber bereits besitzen, lohnt es sich, das Programm im Magnet-Kundenportal noch heute zu aktualisieren!

Wann beschlossen, dass es an der Zeit war, ein spezielles Produkt für Unternehmen zu entwickeln, wollten wir vor allem die Klagen überdenken, die wir von Ermittlern hörten, die tagtäglich mit Fällen zu tun haben. Mit AXIOM Cyber haben wir einen anderen Ansatz gewählt, der es den Ermittlern ermöglicht, Agenten je nach Bedarf auf Windows- und Mac-Endpunkten zu installieren, im Gegensatz zu dem traditionellen Ansatz, bei dem Agenten auf jedem Endpunkt vorinstalliert sind. Aus eigener Erfahrung kann ich sagen, dass die Neukonfiguration und Aktualisierung von massenhaft eingesetzten Agenten in Unternehmensumgebungen ein schwieriges Unterfangen sein kann, wenn die Koordination mit mehreren Teams aus dem gesamten Unternehmen erfolgt.

Außerdem wollten wir unseren artefaktzentrierten Ansatz in die Remote-Erfassungsphase der Ermittlung einfließen lassen, indem wir den Ermittlern eine bereits kuratierte Liste von Zielorten zur Verfügung stellten, aus der sie schnell auswählen konnten, um sowohl für Windows als auch für Mac zu recherchieren. Die folgende Liste enthält die mit AXIOM Cyber vorkonfigurierten Komponenten.

Vorkonfigurierte Zielorte

 

Item Betriebssytem Beschreibung
ALLE BENUTZER – ORDNER Windows, macOS Herunterladen von Objekten aus dem Standard-Benutzerordner (C:\Users\username\*.*, /Users/username/*.*) für alle Benutzer.
ALLE BENUTZER – DESKTOP-ELEMENTE Windows, macOS Herunterladen von Elementen aus dem Standard-Desktop-Ordner (C:\Users\username\Desktop\*.*, /Users/username/Desktop/*.*) für alle Benutzer.
ALLE BENUTZER – DOKUMENTE Windows, macOS Herunterladen von Elementen aus dem Standardordner für Dokumente (C:\Users\username\Documents\*.*, /Users/username/Documents/*.*) für alle Benutzer.
ALLE BENUTZER – HERUNTERGELADENE OBJEKTE Windows, macOS Laden Sie Elemente aus dem Standardordner für Downloads (C:\Users\username\Downloads\*.*, /Users/username/Downloads/*.*) für alle Benutzer herunter.
WEB-BROWSING-AKTIVITÄTEN Windows, macOS Laden Sie Web-Browsing-Aktivitäten wie Verlauf, temporäre Internetdateien, Download-Verlauf, Cookies und mehr für Chrome, Firefox, Internet Explorer, 360 Safe Browser und Opera herunter
REGISTERDATEIEN Windows Registry-Dateien vom Zielcomputer herunterladen. Beispielsweise Registry-Dateien unter C:\Windows\System32\config\*.dat and C:\Users\username\NTUSER.dat.
EREIGNISPROTOKOLLE Windows Die pagefile.sys-Datei vom Zielcomputer herunterladen. Ereignisprotokolle vom Zielcomputer herunterladen. Beispielsweise Ereignisprotokolle unter C:\Windows\System32\config\ und C:\Windows\System32\winevt\Logs.
PAGEFILE.SYS Windows Die pagefile.sys-Datei vom Zielcomputer herunterladen.
SWAPFILE.SYS Windows Die swapfile.sys-Datei vom Zielcomputer herunterladen.
$MFT Windows Die Datei Master Table File ($MFT) vom Zielcomputer herunterladen.
IOS-BACKUPS macOS iOS-Backups für alle Benutzer herunterladen.
ICLOUD-DATEN macOS iCloud-Daten für alle Benutzer herunterladen.
UNIFIED LOGS macOS Unified-Protokolle vom Zielcomputer herunterladen.
QUARANTÄNE-DATEIEN macOS Dateien mit einem Quarantäne-Flag vom Zielcomputer herunterladen.
BASH macOS Bash-Sitzungen für alle Benutzer herunterladen.
SPOTLIGHT-VERKNÜPFUNGEN macOS Spotlight-Shortcuts für alle Benutzer herunterladen.
DAILY.OUT macOS Die Daily.out-Datei vom Zielcomputer herunterladen.
FINDER MRU macOS Informationen über Pfade, auf die kürzlich zugegriffen wurde, in der Finder-Anwendung für alle Benutzer herunterladen.
APP STORE DOWNLOADS macOS Eine Chronik der Downloads im App Store vom Zielcomputer herunterladen.

Zielgruppengerechte Standorte

Mit AXIOM Cyber 4.2 ist es ein Kinderspiel, neue Zielspeicherorte hinzuzufügen, so dass Sie nur genau das aus der Ferne erfassen, was Sie benötigen!

  • Navigieren Sie zum Abschnitt Zielspeicherorte in AXIOM Process
  • Wählen Sie „Neuen Zielspeicherort hinzufügen“
  • Benennen Sie Ihren neuen Speicherort und geben Sie den Pfad an, von dem AXIOM Cyber sammeln soll

Im folgenden Beispiel habe ich einen neuen Zielort mit der Beschreibung Company Information_All Users erstellt. Im Abschnitt Pfadinformationen habe ich AXIOM angewiesen, rekursiv den gesamten Inhalt des Ordners „Company Information“ von jedem auf dem Endpunkt gefundenen Benutzer zu erfassen.

Beim Aufbau neuer Zielorte sind einige wichtige Dinge zu beachten:

  • Durch [user_name] die Verwendung von [user_name] im Pfad werden alle Benutzerordner auf dem Endpunkt durchsucht
  • Ermittler, die einen Ordner über Stern-Punkt-Stern (*.*) erfassen, werden rekursiv alle darin enthaltenen Ordner erfassen
  • Dateinamenerweiterungen (z. B. *.txt) sind nicht rekursiv

Wenn Sie Fragen oder Ideen zu neuen Artefakten haben, die Sie gerne mit AXIOM Cyber unterstützt sehen würden, zögern Sie nicht, sich an trey.amick@magnetforensics.com zu wenden

Holo, transparent letter M

Magnet-News direkt in Ihren Posteingang

Melden Sie sich noch heute an, um direkt von Magnet Forensics über die neuesten Produktaktualisierungen, Branchentrends und Unternehmensnachrichten informiert zu werden.

Beginnen Sie noch heute mit der Modernisierung Ihrer digitalen Ermittlungen.

Bereit für eine Erkundung allein? Starten Sie eine Kostenlose Testversion

Nach oben