Detectree [1] ist eine Open-Source-Entwicklung des Unternehmens WithSecure (ehemals F-Secure) zur Angriffserkennung und -abwehr. Die Idee dahinter ist die Analyse von Log- und Eventdaten mit einem besonderen Fokus auf Zusammenhänge zwischen Aktivitäten und Infrastrukturelementen. Die Entwickler haben sich dabei bewusst für Baumstrukturen zur grafischen Darstellung entschieden. Damit sind, im Gegensatz zu einfachen Graphen, nicht nur grundsätzliche Beziehungen, sondern auch Hierarchien darstellbar. Detectree fokussiert dabei vor allem Prozessbäume, also die Abhängigkeiten beziehungsweise Hierarchien von Prozessen.
Um Detectree für Ihre Analysearbeit auszuprobieren, klonen Sie das Repository aus dem offiziellen Git [2]. Leider scheint das Repository von den Entwicklern nicht besonders gut gepflegt zu werden. Im Branch "dev" finden Sie etwas aktuellere Sourcen für die Installation. Detectree ist in TypeScript entwickelt, daher benötigen Sie eine Node.JS-Installation auf Ihrem Computer. Um die benötigten Abhängigkeiten zu installieren und Detectree im
...Der komplette Artikel ist nur für Abonnenten des ADMIN Archiv-Abos verfügbar.