Access Data –

Решения для расследования инцидентов и сбора доказательств

shield
Нужно устранить угрозы независимо от их источника, и исправить недостатки системы безопасности?
database
Проводят ли в вашей компании анализ данных на удаленных машинах и фильтрацию вредоносных файлов?
zoompc
Что дает вашей организации реализация всех этапов обнаружения электронных данных на единой платформе?

Современный инструмент, соответствующий этим требованиям, существует!

 
КОНЦЕПЦИЯ AD
AD ENTERPRISE
AD EDISCOVERY
AD LAB
QUIN-C
МАТЕРИАЛЫ
Оформить заявку

ЧТО ТАКОЕ AD ENTERPRISE


AccessData® AD Enterprise позволяет проводить детальные компьютерные расследования. Он включает в себя мощные возможности фильтрации и поиска, а также доступа к удаленным системам в вашей сети.


Сбор доказательств

AD Enterprise позволяет осуществлять всесторонний сбор цифровых доказательств, включая следующие данные:

- статические (не изменяемые данные);

- динамические (полученные от источника во время работы решения);

- удаленные (полученные от машин, которые находятся в корпоративной сети) .


Возможные варианты сбора статистических данных:

- сбор с оборудования – клонирование дисков с доступом только на чтение к жесткому диску.

- программный сбор - клонирование с помощью программного обеспечения - создание образа диска.


Сбор динамических данных особо полезен для уголовных расследований, когда важно знать о компрометации данных. Одним из таких примеров является то, что подозрительный диск зашифрован, и необходимо сделать его образ на месте пока компьютер работает. Динамические данные могут собираться с компьютеров в сети, включая информацию в ОЗУ, и данные с дисков. Кроме того, используя удаленную систему управления дисками (RDMS), можно подключать любой диск, просматривать его содержимое, а затем создавать собственный образ того, что является значимым.

     

Для оптимизации объемов собираемых данных в AD Enterprise можно использовать библиотеку известных файлов (KFF) для категоризации конкретной информации во время сбора и анализа доказательств. KFF также позволяет автоматически присваивать файлам статусы «Alert» и «Ignore» для более удобной последующей работы.


Во время сбора доказательств можно создавать индексы данных и хэш-значения всех файлов, содержащихся в данных для осуществления быстрого поиска по индексам. Однако иногда необходимо использовать обычный поиск, чтобы найти вещи, не содержащиеся в индексе.

Анализ данных

Анализ доказательств - это процесс поиска и определения значимых данных.


После того, как вы завершился сбор данных и создан кейс, можно добавлять доказательства для анализа. Доказательства могут включают образы жестких дисков, гибких дисков, компакт-дисков и DVD-дисков, портативных носителей, таких как USB-накопители.


Данные можно хэшировать и индексировать, а также можете запускать поиск для определенных слов, таких как имена и адреса электронной почты или другие поисковые запросы в реальном времени.


Распознавание графических файлов (OCR)

Процесс оптического распознавания символов (OCR) позволяет извлекать текст, содержащийся в графических файлах. Впоследствии текст индексируется так, чтобы его можно было искать и тегировать. Запуск OCR в отношении файла создает новый файл с анализируемым текстом из картинки. Новый файл OCR носит такое же название, как и родительский графический, [graphicname.ext], но с расширением OCR, например, graphicname.ext.ocr.

Прежде чем запускать OCR, следует иметь в виду следующее:


- OCR - полезный инструмент только для исследования, чтобы находить изображения из поиска по индексам. Результаты OCR не считаются доказательством без дальнейшего рассмотрения.

- OCR может давать неточные результаты, учитывая частоту ошибок движков OCR.

- Распознавание некоторых больших изображений может привести к тому, что OCR потребует очень много времени.


Автоматическое дешифрование PRTK/DNA

 

Вы можете расшифровать многие типы зашифрованных файлов, используя автоматическое дешифрование инструментом восстановления паролей PRTK.

Чтобы расшифровать файлы, вы предоставляете список паролей. Когда дешифрованные файлы обрабатываются, эти пароли используется для дешифрования файлов. Если пароли совпадают, файлы дешифруются.

Следующие типы зашифрованных файлов не могут быть дешифрованы автоматически во время обработки:

EFS, Lotus Notes (целое), Lotus Notes / email, SMIME и Credant.

Также есть возможность находить зашифрованные файлы с неизвестными паролями.

Лицензия AccessData Password Recovery Toolkit (PRTK) или инструмент для распределенной сетевой атаки (DNA) позволяет восстановить пароли для зашифрованных файлов. 


Aнализ вредоносных программ (Cerberus)

Cerberus позволяет анализировать вредоносное ПО для исполняемых бинарных файлов. Можно использовать Cerberus для анализа исполняемого бинарного файла, который находится на диске, на сетевом ресурсе или в системной памяти.

Cerberus включает следующие этапы анализа:

1. Анализ угроз

Это общий анализ файлов и метаданных для быстрого разбора исполняемого бинарного файла по общим атрибутам, которыми он может обладать. Он идентифицирует потенциально вредоносный код, генерирует и присваивает оценку угрозы для исполняемого бинарного файла.

2. Статический анализ

Это анализ путем дизассемблирования, для которого требуется больше времени для изучения кода внутри файла. Он изучает возможности бинарного кода, не запуская фактический исполняемый файл.

Cerberus сначала запускает анализ угроз. После завершения анализа он автоматически запускает статический анализ бинарных файлов, у которых оценка угрозы выше заданного порога.

Cerberus анализирует следующие типы файлов: acm com dll exe lex ocx scr tlb ax cpl dll ~ iec mui pyd so tmp cnv dat drv ime new rll sys tsp WPC.


Рассмотрение

Поиск


В системе можно осуществлять прямые поисковые запросы или поиск по индексам.


Прямой поиск представляет собой поэтапное сравнение всего набора доказательств с поисковым запросом и занимает немного больше времени, чем поиск по индексам. Прямой поиск в реальном времени позволяет выполнять поиск небуквенно-цифровых символов, поиск по шаблонам (регулярные выражения и шестнадцатеричные значения).


Поиск по индексу сравнивает условия поиска с индексным файлом, содержащим дискретные слова или числовые строки. Исследователь может выбрать возможность создания файла индексов во время предварительной обработки.


Продукты AccessData используют dtSearch, один из ведущих инструментов поиска по индексам, позволяющий быстро искать гигабайты текста.


Установка тэгов


Поскольку важные данные объединяются из доказательств в кейсы, теги этих данных позволяют быстро находить доказательства и ссылаться на них, добавлять к ним и прикреплять связанные файлы, а также файлы, которые не обрабатываются в текущем кейсе. Теги могут быть включены в отчеты на любом этапе расследования и анализа.


Работа с образами

Экспорт образов

Вы можете экспортировать образы в следующие типы:

- AD1 (AD Custom Content)

- E01 (EnCase Compatible)

- S01 (Smart)

- 001 (RAW/DD)


Работа с образами файлов доказательств


Образ диска может быть изменен или поврежден из-за плохой среды, плохой связи при создании образа или преднамеренного вмешательства. Эта функция работает с типами файлов, которые хранят хэш в самом изображении диска, например EnCase (E01) и SMART (S01).

Чтобы проверить целостность изображения доказательств, создается хэш текущего файла и позволяет сравнить его с хэшем исходного образа диска.

Монтаж образа диска позволяет создавать криминалистические образы в виде диска или физического устройства для просмотра только для чтения, что дает возмодность открыть образ как диск и просматривать содержимое в Windows и других приложениях.

Поддерживаемые типы - это RAW / dd изображения, E01, S01, AD1 и L01.

Образы полного диска RAW / dd, E01 и S01 могут быть установлены физически. Разделы, содержащиеся в полном образе диска, а также пользовательские образы содержимого форматов AD1 и L01 могут быть установлены логически.



КЛЮЧЕВЫЕ ВОЗМОЖНОСТИ

  • Сбор текущих или удаленных данных с нескольких компьютеров за пределами вашей сети из центра, с безопасным исследованием, централизацией, работой с удаленными машинами, такими как ноутбуки, принадлежащие сотрудникам, которые путешествуют и подключаются через VPN в общедоступной сети, такой как отель или аэропорт, и которые не подключаются к локальной сети в течение длительного времени.
  • Автоматическая классификация, индексация и демонстрация данных с помощью простого в использовании мастера обработки данных.
  • Сбор статических или динамических данных с помощью мастера отчетов, который позволяет легко обмениваться информацией и генерировать необходимые отчеты.
  • Анализ всех активных процессов с мощной технологией реагирования на инцидент, которая позволяет: - остановить его во время расследования инцидента. - осуществить восстановление файла с простым в использовании графическим интерфейсом. - осуществить просмотр и анализ ключевых изменяемых элементов данных, таких как процессы, драйверы, порты, пользователи, библиотеки DLL и т. д., в простой в использовании консоли реагирования на инциденты. - осуществить поддержку огромных наборов данных с полностью интегрированной базой данных. - производить дешифрование, а также использовать технологию взлома паролей и восстановления.

АРХИТЕКТУРА



ОФОРМИТЬ ЗАЯВКУ