unified log macos следы

  1. Сергей Попов

    Статья Форензика macOS: артефакты, которые сдают пентестера — Unified Log, FSEvents, Spotlight, Keychain и APFS-снапшоты

    SOC-аналитик поднимает алерт: процесс security на MacBook финансового директора обращается к Keychain с нетипичным PPID. Позже на столе полный таймлайн - PID, родительская цепочка, список файловых операций за 72 часа и три APFS-снапшота, в которых сохранились файлы, удалённые атакующим. Источник...
    • Сергей Попов
    • Тема
    • apfs снапшоты артефакты fsevents форензика keychain форензика macos macos detection soc macos incident response spotlight метаданные следы unified log macos следы форензика macos артефакты
    • Ответы: 0
    • Раздел: OSINT и Форензика
Верх Низ
Назад