20/11/2023 19:46 Autopsy User Documentation: STIX

STIX

Aperçu
Ce document décrit l'utilisation de la fonctionnalité STIX d'Autopsy. Cette fonctionnalité permet d'exécuter un ou
plusieurs fichiers STIX (Structured Threat Information Exchange) sur une source de données, indiquant quels
indicateurs ont été trouvés dans la source de données. Plus d'informations sur STIX peuvent être trouvées sur
https://stix.mitre.org/ . Ce document suppose une connaissance de base de l'autopsie.

Démarrage rapide
1. Créez un cas comme d'habitude et ajoutez une image disque (ou un dossier de fichiers) comme source
de données. Pour tirer le meilleur parti du module STIX, assurez-vous que les modules d'ingestion
suivants sont sélectionnés :
Activité récente
Recherche de hachage (case à cocher pour calculer les hachages MD5 même sans base de
données sélectionnée)
Identification du type de fichier
Recherche par mot clé (URL, adresses IP et e-mail)
Analyseur d'e-mails
Détecteur de non-concordance d'extension
2. Une fois l'image ajoutée et l'ingestion terminée, cliquez sur le bouton Rapport, puis sélectionnez STIX.
Choisissez ensuite soit un seul fichier STIX, soit un répertoire de fichiers STIX à exécuter sur l'image. Il
est possible de le faire pendant l'exécution de l'ingestion, mais les résultats seront incomplets.
3. Une fois le module de rapport STIX terminé, vous obtiendrez deux ensembles de résultats :
Les entrées seront créées sous Éléments intéressants dans l’arbre d’autopsie, sous un sous-titre
pour chaque indicateur.
Un journal des indicateurs/observables trouvés est généré par le module de rapport (Suivez le lien
dans la fenêtre Progression de la génération du rapport)

Objets CybOX pris en charge

Objet d'adresse
Adresse_Valeur
Objet de nom de domaine
Valeur
Objet de message électronique
À
CC
Depuis
Sujet
Objet fichier
Taille_In_Bytes
Nom de fichier
Chemin du fichier
Extension de fichier

https://sleuthkit.org/autopsy/docs/user-docs/4.3/stix_page.html 1/3
20/11/2023 19:46 Autopsy User Documentation: STIX

Heure_Modifiée
Accessed_Time
Heure_créée
Hachages (MD5 uniquement)
Format de fichier
est_masqué
Objet URI
Valeur
Objet d'historique d'URL
Informations_navigateur (Nom)
URL
Nom d'hôte
URL_référent
Titre de la page
Nom_profil_utilisateur
Objet Compte utilisateur
Accueil_Répertoire
Nom d'utilisateur
Gagner un objet de fichier exécutable
Heure_Date_Stamp
Objet de partage réseau Windows
Chemin_local
Nom du réseau
Gagner l'objet clé de registre
Clé (obligatoire)
Ruche
Valeurs
Objet système
Nom d'hôte
Architecture_processeur
Gagner l'objet système
ID_produit
Nom_du produit
Propriétaire_enregistré
Organisation_enregistrée
Répertoire_système_Windows
Répertoire_Temp_Windows
Gagner un objet de compte utilisateur
SID

Voir http://cybox.mitre.org pour plus d'informations sur les objets CybOX.

Limites
Comme le montre la liste ci-dessus, tous les objets/champs CybOX ne sont pas actuellement pris en
charge. Lorsqu'un objet/champ non pris en charge est trouvé dans un observable, son statut est défini sur
« indéterminé » au lieu de vrai ou faux. Ces champs indéterminés ne changeront pas le résultat de la
composition observable (c'est-à-dire que si le reste est vrai, le résultat global restera aussi vrai).

https://sleuthkit.org/autopsy/docs/user-docs/4.3/stix_page.html 2/3
20/11/2023 19:46 Autopsy User Documentation: STIX

Not all ConditionTypeEnum values are supported. It varies by field, but generally on String fields the
following work: EQUALS, DOES_NOT_EQUAL, CONTAINS, DOES_NOT_CONTAIN, STARTS_WITH,
ENDS_WITH. If a condition type is not supported there will be a warning in the log file.
Related objects are not processed

Copyright © 2012-2016 Basis Technology. Generated on Mon Apr 24 2017

This work is licensed under a Creative Commons Attribution-Share Alike 3.0 United States License.

https://sleuthkit.org/autopsy/docs/user-docs/4.3/stix_page.html 3/3