Netzwerkforensik
Was ist Netzwerkforensik?
NetzwerkforensikErfassung, Speicherung und Analyse von Netzwerkverkehr und Metadaten zur Untersuchung von Sicherheitsvorfällen und Rekonstruktion gegnerischer Aktivität.
Netzwerkforensik untersucht Paketmitschnitte (PCAP), NetFlow/IPFIX, DNS-, Proxy-, Firewall- und IDS-Logs, um Intrusionspfade, Exfiltrationskanäle, Command-and-Control und Lateral Movement zu erkennen. Ansätze reichen von vollständiger Paketmitschnitterfassung bis zu zielgerichtetem Sniffing an Engpässen. Tools: Wireshark, Zeek, Suricata, tcpdump, Arkime/Moloch und kommerzielle NDR-Plattformen. Analysten korrelieren Flows mit Endpoint- und SIEM-Daten, dekodieren HTTP, TLS-Metadaten, DNS, SMB und nutzen JA3/JA4-Fingerprints. Da Traffic flüchtig ist, sind Aufbewahrungsrichtlinien, sicherer Speicher und eine Beweismittelkette ab den Sensoren entscheidend für die Verwertbarkeit nach ISO/IEC 27037.
● Beispiele
- 01
Rekonstruktion der HTTP-C2-Sitzungen eines Angreifers aus Zeek-conn.log und PCAP-Ausschnitt.
- 02
DNS-Tunneling-Exfiltration durch Längenverteilung der Queries in NetFlow erkennen.
● Häufige Fragen
Was ist Netzwerkforensik?
Erfassung, Speicherung und Analyse von Netzwerkverkehr und Metadaten zur Untersuchung von Sicherheitsvorfällen und Rekonstruktion gegnerischer Aktivität. Es gehört zur Kategorie Forensik und Incident Response der Cybersicherheit.
Was bedeutet Netzwerkforensik?
Erfassung, Speicherung und Analyse von Netzwerkverkehr und Metadaten zur Untersuchung von Sicherheitsvorfällen und Rekonstruktion gegnerischer Aktivität.
Wie schützt man sich gegen Netzwerkforensik?
Schutzmaßnahmen gegen Netzwerkforensik kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.
Welche anderen Bezeichnungen gibt es für Netzwerkforensik?
Übliche alternative Bezeichnungen: NetFor, Trafficforensik.