Nouvelles fonctionnalités
Magnet AXIOM Cyber

Emplacements cibles personnalisés avec Magnet AXIOM Cyber

Dans ce blog, nous expliquerons comment les examinateurs peuvent désormais créer leurs propres Emplacements cibles personnalisés avec AXIOM Cyber, vous permettant de gagner du temps puisque vous n’avez plus besoin de naviguer dans l’arborescence des fichiers pour trouver les artéfacts dont vous avez fréquemment besoin dans les dossiers.

Si vous n’avez pas encore l’occasion d’essayer AXIOM Cyber, assurez-vous de demander un essai gratuit ici. Et pour ceux qui possèdent déjà AXIOM Cyber, assurez-vous d’aller dans lePortail client Magnetpour effectuer la mise à jour dès aujourd’hui !

Quand Lorsque nous avons décidé que le moment était venu d’élaborer un produit d’entreprise dédié, notre principal objectif était de réexaminer les plaintes dont nous faisaient régulièrement part les examinateurs qui travaillaient au quotidien sur des dossiers. Avec AXIOM Cyber, nous avons adopté une approche différente qui permet aux examinateurs de déployer des agents sur des terminaux Windows et Mac selon leurs besoins, avec une approche ad hoc différente de l’approche traditionnelle consistant à avoir des agents pré-installés sur chaque terminal. D’après mon expérience personnelle, la reconfiguration et la mise à jour d’agents déployés en masse peuvent être des missions complexes dans les environnements d’entreprise où une coordination est requise entre différentes équipes de l’organisation.

Nous souhaitions également incorporer notre approche axée sur les artéfacts à la phase d’acquisition à distance de l’enquête. Pour ce faire, nous voulions fournir aux examinateurs une liste prête à l’emploi d’emplacements ciblés qu’ils pourraient rapidement sélectionner pour leurs collectes pour Windows et pour Mac. La liste suivante énumère les éléments préconfigurés avec AXIOM Cyber.

Emplacements ciblés préconfigurés

 

ÉLÉMENT Système d’exploitation Description
TOUS LES UTILISATEURS – DOSSIERS Windows, macOS Télécharger les éléments depuis l’emplacement du dossier Utilisateur par défaut (C:\Users\username\*.*, /Users/username/*.*) pour tous les utilisateurs.
TOUS LES UTILISATEURS – ÉLÉMENTS DE BUREAU Windows, macOS Télécharger les éléments depuis l’emplacement du dossier Bureau par défaut (C:\Users\username\Desktop\*.*, /Users/username/Desktop/*.*) pour tous les utilisateurs.
TOUS LES UTILISATEURS – DOCUMENTS Windows, macOS Télécharger les éléments depuis l’emplacement du dossier Documents par défaut (C:\Users\username\Documents\*.*, /Users/username/Documents/*.*) pour tous les utilisateurs.
TOUS LES UTILISATEURS – ÉLÉMENTS TÉLÉCHARGÉS Windows, macOS Télécharger les éléments depuis l’emplacement du dossier Téléchargements par défaut (C:\Users\username\Downloads\*.*, /Users/username/Downloads/*.*) pour tous les utilisateurs.
ACTIVITÉ DE NAVIGATION INTERNET Windows, macOS Télécharger l’activité de navigation sur Internet comme l’historique, les fichiers Internet temporaires, l’historique de téléchargement, les cookies et d’autres éléments pour Chrome, Firefox, Internet Explorer, 360 Safe Browser et Opera.
FICHIERS DE REGISTRE Windows Télécharger les fichiers de registre depuis l’ordinateur cible. Par exemple, les fichiers de registre situés dans les emplacements C:\Windows\System32\config\*.dat et C:\Users\username\NTUSER.dat.
JOURNAUX DES ÉVÉNEMENTS Windows Télécharger les journaux des événements depuis l’ordinateur cible. Par exemple, les journaux des événements situés dans les emplacements C:\Windows\System32\config\ et C:\Windows\System32\winevt\Logs.
PAGEFILE.SYS Windows Télécharger le fichier pagefile.sys depuis l’ordinateur cible.
SWAPFILE.SYS Windows Télécharger le fichier swapfile.sys depuis l’ordinateur cible.
$MFT Windows Télécharger la table de fichiers maîtres ($MFT) depuis l’ordinateur cible.
SAUVEGARDES IOS macOS Télécharger les sauvegardes iOS pour tous les utilisateurs.
DONNÉES ICLOUD macOS Télécharger les données iCloud pour tous les utilisateurs.
JOURNAUX UNIFIÉS macOS Télécharger les journaux unifiés depuis l’ordinateur cible.
FICHIERS EN QUARANTAINE macOS Télécharger les fichiers avec un indicateur de quarantaine depuis l’ordinateur cible.
BASH macOS Télécharger les sessions Bash pour tous les utilisateurs.
RACCOURCIS SPOTLIGHT macOS Télécharger les raccourcis Spotlight pour tous les utilisateurs.
DAILY.OUT macOS Télécharger le fichier Daily.out depuis l’ordinateur cible.
FINDER MRU macOS Télécharger les informations relatives aux chemins d’accès récemment utilisés dans l’application Finder pour tous les utilisateurs.
TÉLÉCHARGEMENTS DE L’APP STORE macOS Télécharger un historique des téléchargements de l’App Store pour l’ordinateur cible.

Emplacements cibles personnalisés avec Magnet AXIOM Cyber

Avec AXIOM Cyber 4.2, il est extrêmement simple d’ajouter de nouveaux emplacements cibles pour vous permettre de collecter à distance uniquement ce dont vous avez besoin !

  • Accédez à la section Emplacements cibles dans AXIOM Process
  • Sélectionnez « Ajouter un nouvel emplacement cible »
  • Nommez votre nouvel emplacement et renseignez le chemin d’accès depuis lequel vous souhaitez qu’AXIOM Cyber effectue sa collecte

Dans l’exemple ci-dessous, j’ai créé un nouvel emplacement cible avec une description de Company Information_All Users. Dans la section des informations sur le chemin d’accès, j’ai indiqué qu’AXIOM doit acquérir de manière récursive tous les contenus du dossier « Informations sur l’entreprise » à partir de chaque utilisateur trouvé sur le terminal.

Quelques éléments importants à préciser concernant l’élaboration de nouveaux emplacements cibles :

  • L’utilisation [user_name] de [nom_utilisateur] dans le chemin lancera une recherche de tous les dossiers de l’utilisateur sur le terminal
  • Les examinateurs qui acquièrent un dossier via le format étoile-point-étoile (*.*) obtiendront un résultat récursif, c’est-à-dire qui récupérera tous les dossiers qui y figurent.
  • Les extensions de noms de fichiers (*.txt, par exemple) ne sont pas récursives.

Si vous avez des questions ou des idées concernant les nouveaux artéfacts que vous souhaiteriez voir pris en charge avec AXIOM Cyber, n’hésitez pas à me contacter à l’adresse trey.amick@magnetforensics.com

Ressources connexes

Blog

Blog

Analyse des images Graykey avec Axiom : Ajouts de nouveaux artéfacts à la base de données KnowledgeC

Dans les dernières versions de Magnet Axiom, nous avons ajouté de nouveaux artéfacts trouvés sur les images du système de fichiers iOS visibles principalement lorsque les enquêteurs ont accès à

July 4, 2022 • Une lecture d'environ 4 minutes
Blog

Blog

Analyse avec Magnet Axiom

Les outils d’analyse de Magnet Axiom sont conçus pour faire apparaître automatiquement les preuves pertinentes correspondant au dossier, ce qui vous permet d’obtenir rapidement et facilement des constatations et des

June 22, 2022 • Une lecture d'environ 10 minutes
Blog

Blog

Magnet OUTRIDER 2.0 : Comparaison de la vitesse d’analyse, fonctionnalité de recherche approfondie et bien plus

Nous examinons les gains de performances constatés par les clients ainsi que les nouveaux artéfacts et les fonctionnalités inclus dans cette version.

June 6, 2022 • Une lecture d'environ 5 minutes
Page d’accueil du Centre de ressources
Holo, transparent letter M

Abonnez-vous dès aujourd’hui pour recevoir directement les actualités de Magnet Forensics concernant les dernières mises à jour de produits, les tendances du secteur et les nouveautés de l’entreprise.

Commencez dès aujourd’hui à moderniser vos enquêtes numériques.

Haut