Forensic Timeliner 2.2: analisi forensi avanzate attraverso l’unificazione dei dati

Forensic Timeliner è un motore di elaborazione forense ad alte prestazioni pensato per supportare gli analisti DFIR (Digital Forensics and Incident Response) nelle attività di triage e correlazione degli artefatti. Lo strumento consente di aggregare rapidamente file CSV provenienti dai principali tool forensi, trasformandoli in una sequenza temporale unica, filtrabile e pronta per l’analisi investigativa.

Con il rilascio della versione 2.2, mantenuta in C# su piattaforma .NET 9, il progetto introduce un insieme di miglioramenti mirati soprattutto all’esperienza d’uso della modalità interattiva. Il menu CLI è stato esteso con nuovi prompt che permettono di visualizzare in anteprima le configurazioni di filtro applicate agli artefatti più rilevanti, come MFT e registri eventi di Windows.

I nuovi prompt consentono, ad esempio, di ispezionare in modo strutturato i filtri sui timestamp, sui percorsi e sulle estensioni dei file MFT, oltre ai criteri basati su canali e provider per i log di evento.

Le configurazioni di tagging delle parole chiave, definite nei file keywords.yaml, vengono ora mostrate automaticamente quando si utilizzano EZ Tools in presenza dei file di configurazione.

Le anteprime sono renderizzate in tabelle avanzate tramite Spectre.Console.

Un’altra novità significativa riguarda l’integrazione con Timeline Explorer. Forensic Timeliner introduce un’opzione interattiva dedicata all’abilitazione del keyword tagging, che consente di generare automaticamente un file di sessione .tle_sessfile. Le righe della timeline vengono etichettate sulla base di gruppi di parole chiave definiti dall’utente, con la possibilità di visualizzare un’anteprima dei gruppi prima dell’attivazione.

Dal punto di vista funzionale, il tool continua a supportare l’unificazione degli output CSV prodotti da EZ Tools/Kape, Axiom, Chainsaw, Hayabusa e Nirsoft. La scoperta dei file avviene in modo automatico a partire da una directory di base, utilizzando criteri configurabili tramite YAML che includono nomi dei file, nomi delle cartelle e intestazioni CSV. Per strumenti come Hayabusa, che permettono output personalizzati, è richiesto l’uso di una convenzione di naming coerente.

Strumenti supportati

• EZ Tools – Analisi completa degli artefatti di Windows (cronologia delle attività, Amcache, AppCompatCache, registri eventi, JumpList, file LNK, MFT, Prefetch, registro, Shellbag, UserAssist e altro)
• Hayabusa – Analisi del registro eventi di Windows basata su Sigma e ricerca delle minacce
• Chainsaw – Analisi del registro eventi incentrata su MITRE ATT&CK (manomissione dell’account, accesso alle credenziali, movimento laterale, persistenza, PowerShell e altro)
• Axiom – Magnet Forensics estrazione completa di artefatti (cronologia web, prelettura, registro, file system e altro)
• Nirsoft – Analisi della cronologia tra browser e artefatti di utilità di Windows

La timeline generata può essere arricchita con metadati e tag basati su parole chiave, facilitando l’analisi all’interno di Timeline Explorer. L’esportazione avviene in formato CSV conforme allo standard RFC-4180, garantendo la compatibilità con strumenti forensi e ambienti di analisi come Excel. Sono inoltre disponibili filtri temporali, funzioni di deduplicazione e opzioni sperimentali per includere i dati grezzi delle righe sorgente.

L’esecuzione del programma può avvenire sia tramite riga di comando sia attraverso una modalità interattiva che guida l’utente nella costruzione dei comandi. Tra le opzioni disponibili figurano l’elaborazione selettiva dei singoli strumenti, l’analisi completa automatica, l’attivazione del tagging e la definizione di finestre temporali. Le configurazioni YAML permettono un controllo granulare sulla scoperta degli artefatti, sui filtri dei registri eventi e sulla normalizzazione dei timestamp MFT.

Forensic Timeliner supporta un ampio ventaglio di artefatti, che spaziano dai registri eventi Windows ai dati di navigazione web, dai file di esecuzione automatica ai log di sicurezza e agli indicatori di minaccia.

Ogni strumento integrato dispone di una documentazione dedicata che descrive la mappatura dei campi, i comportamenti di parsing e i formati di input attesi. Il progetto è distribuito con licenza MIT ed è disponibile nella versione più recente 2.2, accompagnata da dati di esempio per attività di test.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La Redazione di Red Hot Cyber fornisce aggiornamenti quotidiani su bug, data breach e minacce globali. Ogni contenuto è validato dalla nostra community di esperti come Pietro Melillo, Massimiliano Brolli, Sandro Sana, Olivia Terragni e Stefano Gazzella. Grazie alla sinergia con i nostri Partner leader nel settore (tra cui Accenture, CrowdStrike, Trend Micro e Fortinet), trasformiamo la complessità tecnica in consapevolezza collettiva, garantendo un'informazione accurata basata sull'analisi di fonti primarie e su una rigorosa peer-review tecnica.