DFIR (Digitale Forensik und Incident Response)

DFIR-Teams agieren während und nach Sicherheitsvorfällen, um den Hergang zu verstehen, den Umfang zu bestimmen, Angreifer zu entfernen und beweisfähige Erkenntnisse zu liefern. Die Abläufe orientieren sich an NIST SP 800-61 für Vorfallsbehandlung und NIST SP 800-86 / ISO/IEC 27037 für Beweisbehandlung; sie verbinden Live-Response (EDR-Queries, Triage mit KAPE oder Velociraptor) mit vollständiger forensischer Akquise, wo erforderlich. Analysten kombinieren Telemetrie aus Endpoint, Speicher, Netzwerk und Cloud und ordnen TTPs MITRE ATT&CK zu. Ergebnisse sind Indikatoren, Root Cause, Remediation-Empfehlungen sowie Lessons Learned, die Detektion und Prävention nachhaltig verbessern.