Forensique et réponse
Forensique réseau
Aussi appelé: NetFor, Forensique du trafic
Définition
Capture, enregistrement et analyse du trafic et des métadonnées réseau pour investiguer des événements de sécurité et reconstruire l'activité d'un attaquant.
Exemples
- Reconstruction des sessions C2 HTTP d'un attaquant à partir d'un conn.log Zeek et d'un extrait PCAP.
- Identification d'une exfiltration DNS via la distribution des longueurs de requête dans NetFlow.
Termes liés
Investigation numérique
Discipline scientifique consistant à identifier, préserver, analyser et documenter les preuves numériques issues d'ordinateurs, de réseaux et d'appareils, de manière juridiquement recevable.
DFIR (Investigation numérique et réponse à incident)
Discipline combinée qui fusionne l'investigation forensique numérique et la réponse à incident pour détecter, contenir, éradiquer et tirer les leçons des incidents de cybersécurité.
Système de détection d'intrusion (IDS)
Contrôle de sécurité passif qui surveille l'activité réseau ou hôte à la recherche de comportements malveillants et émet des alertes sans bloquer le trafic.
IDS basé réseau (NIDS)
Capteur de détection d'intrusion qui inspecte le trafic capturé sur un segment réseau pour identifier des motifs malveillants et des violations de politique.
Log Analysis
Log Analysis — definition coming soon.
NDR (Network Detection and Response)
Technologie de sécurité réseau qui analyse le trafic — paquets déchiffrés, métadonnées et flux — par analyse comportementale et ML pour détecter les menaces et orchestrer la réponse.