Herramientas de Análisis Forense

Tienen como característica común, que son herramientas proporcionadas habitualmente por el propio Proveedor de Servicios de Nube (Cloud Service Provider – CSP):

1. Registro de actividades en nube pública (cloud activity logs):

AWS CloudTrail: Proporciona un registro continuo de las actividades realizadas en una cuenta de Amazon Web Services (AWS), incluyendo acciones de los administradores sobre los recursos y cambios de configuración.

Azure Activity Log: Registra eventos relacionados con la gestión de recursos en Microsoft Azure, como cambios en la configuración, acciones de administración y operaciones de recursos.

Google Cloud Audit Logs: Ofrece un registro de auditoría de actividades en Google Cloud Platform (GCP), incluyendo accesos a recursos, cambios en políticas y acciones administrativas.

2. Herramientas de auditoría de accesos y cambios (Access and Change Auditing Tools):

AWS Config: Evalúa la configuración de los recursos de AWS y registra los cambios en la configuración, permitiendo la auditoría continua y la evaluación del cumplimiento.

Azure Security Center: Proporciona una vista centralizada de la seguridad en Azure e incluye capacidades de auditoría de accesos, detección de amenazas y recomendaciones de seguridad.

Google Cloud Security Command Center: Ofrece visibilidad sobre la seguridad y el cumplimiento, incluyendo funciones de auditoría de accesos y detección de amenazas.

1. Herramientas para la recolección de datos de la nube (Cloud Data Collection Tools):

FTK Imager: Una herramienta forense popular para la recolección de datos, FTK Imager puede utilizarse para adquirir imágenes de disco de máquinas virtuales en la nube.

S3 Bucket AWS Explorer: Permite explorar y descargar datos almacenados en buckets S3 de Amazon para su análisis forense.

Google Cloud Storage Browser: Facilita la navegación y recuperación de datos almacenados en Google Cloud Storage para su análisis forense.

2. Recuperación de datos eliminados en la nube (Deleted Data Recovery Tools):

PhotoRec: Una herramienta de código abierto que puede utilizarse para recuperar archivos eliminados en sistemas de almacenamiento en la nube, como discos virtuales.

Undelete360: Otra herramienta que permite recuperar archivos eliminados en discos virtuales mediante el análisis de sistemas de archivos.

1. Herramientas de análisis de registros (Log Analysis Tools):

 Sentinel: Entre otras capacidades, proporciona capacidades avanzadas de investigación de amenazas. Permite correlar eventos de múltiples  fuentes que pueden facilitar la investigación de los incidentes mediante el análisis de las actividades aquí registradas.

AWS CloudWatch Logs Insights: Ofrece capacidades de búsqueda y análisis avanzado de registros en AWS CloudWatch, facilitando la detección de eventos relevantes.

Splunk: Una plataforma de análisis de datos que puede utilizarse para analizar registros de actividad en la nube y detectar patrones o anomalías.

ELK Stack (Elasticsearch, Logstash, Kibana): Una combinación de herramientas de código abierto que permite la ingestión, análisis y visualización de registros de manera escalable.

2. Análisis de imágenes de disco en la nube (Cloud Disk Image Analysis Tools):

Autopsy: Una herramienta forense digital de código abierto que puede utilizarse para analizar imágenes de disco en la nube y examinar la estructura del sistema de archivos.

Encase Forensic: Una herramienta comercial que utilizada varias técnicas forenses para adquirir y analizar imágenes de disco en la nube de manera forense.

1. Registro de actividades en nube pública (cloud activity logs):

Office 365 Audit Log: Proporciona un registro detallado de actividades realizadas en Office 365, incluyendo cambios en la configuración, acciones de administración de usuarios y acceso a datos.

Hawk: Permite supervisar y auditar eventos de seguridad en Office 365, como accesos inusuales, cambios de configuración y actividades sospechosas, lo que facilita la identificación y el análisis de posibles incidentes de seguridad. Hawk accede vía API de Office 365 a toda la información de auditoría para posibilitar llevar a cabo estos análisis.

2. Herramientas de auditoría de accesos y cambios (Access and Change Auditing Tools):

Office 365 Security & Compliance Center: Ofrece capacidades de auditoría de accesos y cambios en Office 365, permitiendo la configuración de políticas de retención, detección de amenazas y análisis de actividades.

1. Herramientas para la recolección de datos de la nube (Cloud Data Collection Tools):

Office 365 Content Search: Permite buscar y recopilar datos en buzones de correo electrónico, sitios de SharePoint y OneDrive for Business para su análisis forense.

2. Recuperación de datos eliminados en la nube (Deleted Data Recovery Tools):

Office 365 eDiscovery: Incluye capacidades de búsqueda y recuperación de datos eliminados en Office 365, lo que permite restaurar elementos eliminados por usuarios o administradores.

1. Herramientas de análisis de registros (Log Analysis Tools):

Office 365 Management Activity API: Permite acceder a registros de actividad de Office 365 para su análisis mediante herramientas de terceros o scripts personalizados.

Sparrow: Es una herramienta de evaluación de seguridad diseñada específicamente para Office 365. Permite realizar evaluaciones de seguridad automatizadas, identificar configuraciones débiles o vulnerabilidades, y recomendar acciones correctivas.

Sparrow puede ayudar a identificar configuraciones de seguridad deficientes en Office 365, lo que puede ser relevante en el contexto de análisis forense para comprender posibles puntos de entrada o vulnerabilidades que podrían haber sido explotadas durante un incidente de seguridad.

2. Análisis de imágenes de disco en la nube (Cloud Disk Image Analysis Tools):

No hay herramientas específicas de Office 365 para análisis de imágenes de disco en la nube. Al tratarse de un servicio SaaS, es, en este caso, la propia Microsoft la responsable de un hipotético análisis de este tipo dentro de sus sistemas.