در مقالات قبلی به بررسی ابزارهای تحلیل لاگ ویندوز و سیستمهای مختلف پرداختیم، از جمله Event Log Explorer که جایگزینی پیشرفته برای Event Viewer ویندوز است و امکان فیلتر، جستجو و خروجیگیری حرفهای لاگها را فراهم میکند، APT-Hunter که ابزاری open source برای تحلیل خودکار لاگها و شناسایی الگوهای حملات APT است و osquery که سیستم را به یک دیتابیس SQL تبدیل کرده و تحلیل زنده و مانیتورینگ تهدیدات را ممکن میسازد.
در ادامه این سری مقالات، اکنون به یکی از ابزارهای حرفهای و متنباز تحلیل لاگها میپردازیم: Log2Timeline (Plaso). این ابزار به تحلیلگران امنیتی اجازه میدهد تا از لاگها، فایلها و آرتیفکتهای سیستم یک Timeline جامع و قابل تحلیل بسازند و حملات، رفتارهای مشکوک و تغییرات غیرمجاز را به شکل دقیق شناسایی کنند.
Log2Timeline (Plaso) چیست؟
Log2Timeline (Plaso) یک ابزار open source و قدرتمند برای تحلیل و جمعآوری دادهها از سیستمهای مختلف است. این ابزار میتواند لاگها، فایلها و سایر آرتیفکتها را به صورت یک Timeline واحد جمعآوری کند تا تحلیلگر بتواند روند رخدادها و حملات را به شکل دقیق و زمانبندیشده مشاهده کند.
ویژگیهای اصلی Plaso شامل موارد زیر است:
✔️ پشتیبانی از انواع لاگهای ویندوز، لینوکس و macOS
✔️ ایجاد Timeline جامع و قابل جستجو
✔️ قابلیت تحلیل خودکار و شناسایی رفتارهای مشکوک
✔️ خروجی گرفتن به فرمتهای مختلف برای گزارشدهی
کاربردهای Log2Timeline در ویندوز
- شناسایی حملات Brute Force و Credential Theft : تحلیل لاگهای ورود به سیستم برای کشف تلاشهای ناموفق ورود و دسترسی غیرمجاز.
- تشخیص تغییرات غیرمجاز در فایلها و رجیستری: بررسی تغییرات زمانبندیشده برای تشخیص نفوذ.
- تحلیل حملات APT : ایجاد Timeline جامع از لاگها و فایلها برای شناسایی الگوهای حمله پیشرفته.
- همکاری با دیگر ابزارهای DFIR : مانند Event Log Explorer و APT-Hunter برای تحلیل چندلایهای لاگها.
نصب و راهاندازی Log2Timeline
برای شروع تحلیل لاگ ویندوز با Plaso، مراحل زیر را دنبال کنید:
1 . نصب پیشنیازها
Plaso بر پایه پایتون و برخی کتابخانهها کار میکند، بنابراین ابتدا لازم است پیشنیازها را نصب کنید:
#نصبPythonوpip(اگر نصب نشده است)
sudo apt install python3 python3-pip
#نصبpytsk3وdfdatetime
pip install pytsk3 dfdatetime
2 . نصب Plaso
#نصب آخرین نسخهPlaso
pip install plaso
3 . بررسی نصب
log2timeline.py --version
اگر نسخه نمایش داده شد، نصب با موفقیت انجام شده است.
آموزش عملی تحلیل لاگ ویندوز با Plaso
1 . استخراج لاگها
ابتدا باید لاگهای مورد نظر را از سیستم ویندوز جمعآوری کنید. Plaso از Event Log فایلها (مانند *.evtx) پشتیبانی میکند:
log2timeline.py -z UTC --status_view window -o C:\timeline.plaso C:\Logs\*.evtx
✔️ -z UTC برای هماهنگسازی زمانها
✔️ --status_view window نمایش پیشرفت فرآیند
✔️ -o مسیر خروجی فایل Timeline
2 . ایجاد Timeline
پس از استخراج، Timeline را میتوان به فرمت قابل تحلیل در ابزارهای دیگر تبدیل کرد:
pinfo.py C:\timeline.plaso
این دستور خلاصهای از فایل Timeline را نمایش میدهد.
3 . جستجو و تحلیل تهدید
میتوان دادههای Timeline را برای پیدا کردن رفتارهای مشکوک یا حملات تحلیل کرد:
psort.py -o dynamic C:\timeline.plaso "Date and Time >= '2025-09-01'" > results.txt
✔️ -o dynamic خروجی قابل خواندن برای تحلیلگر
✔️ فیلتر بر اساس تاریخ، نوع رخداد و سایر معیارها
مثال عملی: شناسایی حمله Brute Force با Plaso
فرض کنید یک سرور ویندوزی تحت حمله Brute Force قرار گرفته است؛ یعنی مهاجم تلاش میکند با استفاده از رمزهای عبور متعدد، به حسابهای کاربری دسترسی پیدا کند. در چنین شرایطی، Log2Timeline (Plaso) میتواند تحلیلگر را در چند مرحله کلیدی یاری کند:
استخراج لاگهای ورود ناموفق
ابتدا باید لاگهای Event Viewer مربوط به ورودهای ناموفق (Security Event Logs) استخراج شود. Plaso این لاگها را به صورت خودکار جمعآوری کرده و در Timeline قرار میدهد. تحلیلگر میتواند با بررسی رخدادهای مکرر، حسابهایی که هدف حمله بودهاند و آیپیهای مشکوک را شناسایی کند.
شناسایی تغییرات غیرمجاز در رجیستری و فایلها
مهاجم ممکن است پس از ورود موفق، تغییراتی در رجیستری یا فایلهای سیستم ایجاد کند تا دسترسی خود را حفظ کند یا حمله را مخفی کند. Plaso قادر است تغییرات زمانبندیشده در رجیستری، حذف یا ایجاد فایلها و سایر فعالیتهای غیرعادی را استخراج کند و آنها را در Timeline قرار دهد تا تحلیلگر بتواند ترتیب وقوع آنها را بررسی کند.
ساخت Timeline جامع و تحلیل دقیق رخدادها
پس از استخراج دادهها، Plaso یک Timeline واحد و جامع ایجاد میکند که تمام رخدادها از ورود ناموفق تا تغییرات سیستم را با زمان دقیق نمایش میدهد. این قابلیت به تحلیلگر امکان میدهد مسیر حمله را بازسازی کرده، رفتار مهاجم را در طول زمان دنبال کند و ارتباط بین رخدادها را شناسایی کند.
این سناریو نشان میدهد که Log2Timeline نه تنها دادهها را جمعآوری میکند، بلکه با سازماندهی و ارائه Timeline دقیق، تحلیلگر را در شناسایی حملات پیچیده، کشف نفوذ و بازسازی رخدادهای گذشته سیستم یاری میکند. به کمک Plaso، دیگر تحلیلگر مجبور نیست ساعتها لاگهای پراکنده را به صورت دستی بررسی کند. بلکه میتواند به سرعت به تصویر کاملی از حمله دست پیدا کند و اقدامات مقابلهای مناسبی انجام دهد.
مقایسه Log2Timeline با ابزارهای قبلی
|
ابزار |
قابلیتها |
مزیت Plaso |
|
Event Log Explorer |
مشاهده و فیلتر لاگها |
Timeline جامع و امکان ترکیب با فایلها و آرتیفکتها |
|
APT-Hunter |
تحلیل خودکار تهدیدات |
امکان تحلیل همه رخدادها و خروجی قابل جستجو |
|
osquery |
کوئریگیری زنده |
جمعآوری همه رخدادهای گذشته و ایجاد Timeline |
نکات تکمیلی:
✔️ پشتیبانگیری از لاگها: قبل از هر تحلیل، نسخهای از لاگها تهیه کنید تا از دست رفتن اطلاعات جلوگیری شود.
✔️ یکپارچهسازی با سایر ابزارها: برای تحلیل جامع، Timeline Plaso را با ابزارهایی مثل APT-Hunter یا osquery ترکیب کنید.
✔️ استفاده از فیلترها: برای سرعت بخشیدن به تحلیل، از فیلترهای تاریخ، کاربر و نوع رخداد استفاده کنید.
نتیجهگیری
Log2Timeline (Plaso) ابزاری حرفهای و ضروری برای تحلیل لاگ ویندوز و شناسایی حملات پیشرفته است. با استفاده از این ابزار، تحلیلگران میتوانند Timeline جامع و دقیقی از رخدادها ایجاد کرده و حملات سایبری، رفتارهای مشکوک و تغییرات غیرمجاز در سیستم را شناسایی کنند. ترکیب Plaso با سایر ابزارهای تحلیل لاگ، مانند Event Log Explorer و APT-Hunter، تجربهای کامل و چندلایه از تحلیل لاگها ارائه میدهد.
سوالات متداول (FAQ)
۱. آیا Plaso فقط روی ویندوز کار میکند؟
خیر، Plaso روی لینوکس و macOS هم قابل استفاده است.
۲. بهترین فرمت خروجی چیست؟
فرمت JSON یا SQLite برای تحلیلهای بعدی توصیه میشود.
۳. آیا نیاز به سیستم قدرتمند دارد؟
بسته به حجم لاگها، منابع متوسط کافی است اما برای تحلیل لاگهای بزرگ سرور، سیستم قدرتمند بهتر است.
🔗 مقالات مرتبط
🔗 بررسی لاگ ویندوز با Event Log Explorer
🔗 آموزش APT-Hunter برای شناسایی حملات در لاگ ویندوز
🔗 کار با osquery برای کوئریگیری لحظهای از سیستمها
