Automatización y escalado de herramientas forenses digitales.
|
Turbinia es un marco de código abierto para implementar, administrar y ejecutar cargas de trabajo forenses distribuidas. Está destinado a automatizar la ejecución de herramientas de procesamiento forense comunes (es decir, Plaso, TSK, strings, etc.) para ayudar a procesar la evidencia en la nube, escalar el procesamiento de grandes cantidades de evidencias y disminuir el tiempo de respuesta al paralelizar el procesamiento cuando sea posible.
Turbinia se compone de diferentes componentes para el cliente, el servidor y los procesos. Estos componentes pueden ejecutarse en la nube, en máquinas locales o como un híbrido de ambos. El cliente de Turbinia realiza solicitudes para procesar pruebas al servidor de Turbinia. El servidor de Turbinia crea trabajos lógicos a partir de estas solicitudes de usuario entrantes, que crean y
La comunicación del cliente al servidor se realiza actualmente con Google Cloud PubSub o Kombu messaging. La implementación de procesos puede usar PSQ (una cola de tareas de Google Cloud PubSub) o Celery para la programación de tareas.
programan tareas de procesamiento forense para que sean ejecutadas por los procesos. La evidencia a procesar se dividirá por los trabajos cuando sea posible, y se pueden crear muchas tareas para procesar la evidencia en paralelo. Uno o más procesos se ejecutan continuamente para procesar tareas desde el servidor. Cualquier nueva evidencia creada o descubierta por las tareas se enviará nuevamente a Turbinia para su posterior procesamiento.
Los pasos básicos para que las cosas funcionen después de la instalación y configuración iniciales son:
- Iniciar el componente del servidor Turbinia con el «turbiniactl server».
- Iniciar uno o más procesos de Turbinia con «turbiniactl psqworker».
- Enviar evidencia para ser procesada desde el cliente de «turbiniactl ${evidencetype}» con «turbiniactl ${evidencetype}».
- Verificar el estado de las tareas en ejecución con el «turbiniactl status».
Los comandos para procesar los tipos de evidencia de rawdisk y directorio especifican información sobre la evidencia que Turbinia debe procesar. De forma predeterminada, al agregar nuevas pruebas para procesar, turbiniactl actuará como cliente y enviará una solicitud al servidor Turbinia configurado; de lo contrario, si se especifica –server , se iniciará su propio proceso de servidor Turbinia.
Actualmente, Turbinia asume que la Evidencia está igualmente disponible para todos los nodos de trabajo (por ejemplo, a través del almacenamiento asignado localmente, o a través de los Discos de Google Cloud persistentes que se pueden adjuntar, etc.). No todos los tipos de evidencia son compatibles. Todavía solo se admite una pequeña cantidad de tipos de trabajos de procesamiento, pero se están desarrollando más.
Más información y descarga de Turbinia:
https://github.com/google/turbinia