+1

Một số phương pháp và công cụ hữu ích cho điều tra số trên môi trường Google Cloud (GCP)

Mayfest2023

Google Cloud Platform (GCP) là một nền tảng điện toán đám mây phổ biến cung cấp nhiều loại dịch vụ và công cụ để xây dựng, triển khai và quản lý các ứng dụng cũng như cơ sở hạ tầng. Khi ngày càng có nhiều tổ chức áp dụng GCP, điều quan trọng là phải hiểu cách tiến hành phân tích điều tra số trên môi trường GCP để điều tra các sự cố bảo mật tiềm ẩn và tuân thủ các yêu cầu pháp lý và quy định.

Khi tiến hành phân tích điều tra số trên môi trường GCP, điều quan trọng là phải tuân theo một loạt các phương pháp để đảm bảo tính toàn vẹn của bằng chứng và tính chính xác của cuộc điều tra. Dưới đây là một số phương pháp thực hành tốt nhất cần ghi nhớ:

  • Tạo các bản sao pháp chứng của đĩa và dữ liệu: Trước khi tiến hành bất kỳ phân tích điều tra số nào, điều quan trọng là tạo các bản sao pháp chứng của đĩa và dữ liệu mà bạn sẽ điều tra. Điều này sẽ đảm bảo rằng bằng chứng gốc không bị thay đổi trong quá trình điều tra.
  • Sử dụng các công cụ và phương pháp được phép: Điều quan trọng là chỉ sử dụng các công cụ và phương pháp được phép để tiến hành phân tích điều tra số trên môi trường GCP. Điều này sẽ đảm bảo rằng bằng chứng được thu thập và phân tích theo cách thức phù hợp với các yêu cầu pháp lý và quy định.
  • Ghi chép lại cuộc điều tra: Điều quan trọng là phải ghi lại cẩn thận từng bước của cuộc điều tra số, bao gồm các công cụ và phương pháp được sử dụng, các phát hiện và mọi kết luận đạt được. Việc này sẽ giúp đảm bảo tính chính xác và toàn vẹn của cuộc điều tra.
  • Duy trì chuỗi hành trình: Chuỗi hành trình là hồ sơ về người đã lưu giữ bằng chứng trong quá trình điều tra. Điều quan trọng là phải duy trì chuỗi hành trình để đảm bảo rằng bằng chứng không bị giả mạo hoặc thay đổi.

Các công cụ dành cho điều tra số trên môi trường GCP

Có nhiều công cụ sẵn có để tiến hành phân tích điều tra số trên môi trường GCP. Trong đó, một số công cụ quan trọng cần lưu ý bao gồm:

Tạo ảnh đĩa để phân tích — phương pháp thủ công

Để tạo ảnh đĩa pháp chứng của máy ảo trong Google Cloud, chúng ta sẽ cần sử dụng công cụ như dd để tạo bản sao thô từng bit của đĩa máy ảo. Quá trình này đôi khi được gọi là "clone" đĩa.

Dưới đây là một ví dụ về cách chúng ta có thể tạo ảnh đĩa pháp chứng của máy ảo trong Google Cloud bằng dd:

  1. Kết nối với máy ảo bằng cách sử dụng gcloud compute ssh hoặc phương pháp khác.
  2. Chạy lệnh df -h để hiển thị dung lượng đĩa trống trên máy ảo. Đảm bảo rằng chúng ta có đủ dung lượng để tạo ảnh đĩa.
  3. Chạy lệnh lsblk để liệt kê các thiết bị khối được gắn vào máy ảo. Xác định thiết bị đại diện cho ổ đĩa bạn muốn sao chép (ví dụ: /dev/sda).
  4. Sử dụng lệnh dd để tạo bản sao thô từng bit của đĩa. Ví dụ: nếu thiết bị chúng ta đã xác định ở bước trước đó là /dev/sda, thì bạn có thể chạy lệnh sau để tạo hình ảnh đĩa pháp chứng:
sudo dd if=/dev/sda of=forensic-disk-image.img
  1. Lệnh dd sẽ chạy cho đến khi hoàn tất việc tạo ảnh đĩa. Quá trình này có thể mất một lúc, tùy thuộc vào kích thước của đĩa.
  2. Sau khi lệnh dd kết thúc, chúng ta sẽ có một ảnh ổ đĩa của máy ảo. Sau đó chúng ta có thể sử dụng ảnh đĩa này để tiến hành phân tích điều tra số máy ảo.

Tạo ảnh đĩa để phân tích — phương pháp thông minh

Thư viện libcloudforensics là một tập hợp các công cụ và tiện ích để tiến hành phân tích điều tra số trên môi trường điện toán đám mây. Nó được viết bằng Python và có thể được cài đặt bằng pip:

pip install libcloudforensics

Sau khi thư viện được cài đặt, chúng ta có thể sử dụng nó trong code Python bằng cách import như sau:

import libcloudforensics

Thư viện libcloudforensics bao gồm một số công cụ và tiện ích khác nhau có thể được sử dụng để phân tích điều tra số trên môi trường đám mây. Một số ví dụ về những việc chúng ta có thể làm với thư viện bao gồm:

  • Trích xuất siêu dữ liệu từ tài nguyên đám mây (ví dụ: máy ảo, bộ chứa lưu trữ, v.v.)
  • Phân tích lưu lượng mạng và nhật ký từ môi trường đám mây
  • Tạo hình ảnh đĩa pháp chứng của các máy ảo trên đám mây
  • Tiến hành điều tra pháp chứng số trên môi trường đám mây

Để tìm hiểu thêm về các tính năng cụ thể và khả năng của thư viện libcloudforensics, bạn có thể đọc thêm tài liệu tại https://libcloudforensics.readthedocs.io/.

Sử dụng GCP Log Explorer

Sau khi đăng nhập vào bảng điều khiển GCP, chúng ta có thể truy cập Log Explorer bằng cách làm theo các bước sau:

  1. Trong bảng điều khiển GCP, điều hướng đến trang Logs Viewer bằng cách nhấp vào liên kết Logs Viewer trong phần Monitoring của menu bên trái.
  2. Trên trang Logs Viewer, chúng ta sẽ thấy danh sách các dự án GCP của mình ở phía bên trái. Chọn dự án mà chúng ta muốn xem nhật ký.
  3. Sau khi đã chọn một dự án, chúng ta sẽ thấy một danh sách các loại nhật ký cho dự án đó trong khu vực chính của trang. Chọn loại nhật ký mà chúng ta muốn tìm hiểu.
  4. Sau khi chọn loại nhật ký, chúng ta sẽ được đưa đến trang Log Explorer cho loại nhật ký đó. Trên trang này, chúng ta có thể sử dụng hộp tìm kiếm và các bộ lọc để tìm các mục nhập nhật ký cụ thể và có thể sử dụng biểu đồ dòng thời gian để xem các nhật ký đã thay đổi như thế nào theo thời gian.
  5. Chúng ta có thể sử dụng bảng chi tiết mục nhật ký ở phía bên phải của trang để xem thêm thông tin về một mục nhật ký cụ thể và có thể sử dụng các tùy chọn ở góc trên cùng bên phải của trang để xuất hoặc xóa các mục nhật ký.

GCP Log Explorer là một công cụ mạnh mẽ cho phép tìm kiếm, lọc và phân tích nhật ký GCP một cách nhanh chóng và dễ dàng. Bằng cách sử dụng Log Explorer, chúng ta có thể thu được thông tin chuyên sâu có giá trị về hành vi của các tài nguyên GCP của mình và khắc phục sự cố hiệu quả hơn.


All rights reserved

Viblo
Hãy đăng ký một tài khoản Viblo để nhận được nhiều bài viết thú vị hơn.
Đăng kí