Forensik und Incident Response
Netzwerkforensik
Auch bekannt als: NetFor, Trafficforensik
Definition
Erfassung, Speicherung und Analyse von Netzwerkverkehr und Metadaten zur Untersuchung von Sicherheitsvorfällen und Rekonstruktion gegnerischer Aktivität.
Beispiele
- Rekonstruktion der HTTP-C2-Sitzungen eines Angreifers aus Zeek-conn.log und PCAP-Ausschnitt.
- DNS-Tunneling-Exfiltration durch Längenverteilung der Queries in NetFlow erkennen.
Verwandte Begriffe
Digitale Forensik
Wissenschaftliche Disziplin zur Identifikation, Sicherung, Analyse und gerichtsfesten Dokumentation digitaler Beweise aus Computern, Netzwerken und Geräten.
DFIR (Digitale Forensik und Incident Response)
Kombinierte Disziplin, die digitale forensische Ermittlung und Incident Response zusammenführt, um Vorfälle zu erkennen, einzudämmen, zu bereinigen und auszuwerten.
Intrusion Detection System (IDS)
Eine passive Sicherheitskomponente, die Netzwerk- oder Host-Aktivität auf böswilliges Verhalten überwacht und Alarme auslöst, ohne Verkehr zu blockieren.
Netzwerk-basiertes IDS (NIDS)
Ein Intrusion-Detection-Sensor, der aus einem Netzwerksegment kopierten Verkehr analysiert, um bösartige Muster und Policy-Verstöße zu erkennen.
Log Analysis
Log Analysis — definition coming soon.
NDR (Network Detection and Response)
Netzwerksicherheits-Technologie, die Verkehr (inklusive entschlüsselter Pakete, Metadaten und Flow-Daten) per Verhaltensanalyse und ML untersucht, um Bedrohungen zu erkennen und Response zu orchestrieren.