揮発性の順序 (Order of Volatility)
揮発性の順序 (Order of Volatility) とは何ですか?
揮発性の順序 (Order of Volatility)RFC 3227 で定義された取得優先順位。フォレンジック対応者に対し、上書き・消失する前に最も揮発性の高い証拠から先に収集することを求める。
揮発性の順序は DFIR の基本原則で、RFC 3227 に明文化されています。証拠を変化・消失の速さで順位付けし、標準的な順序は次のとおりです: CPU レジスタ・キャッシュ、カーネル/プロセスメモリ、ネットワーク状態と ARP キャッシュ、実行中プロセス、一時ファイルシステム、永続ストレージ、リモートのロギング・モニタリングデータ、最後に物理構成およびアーカイブメディア。対応者は電源断や再起動前に揮発性ソースを取得しなければなりません。RAM、ネットワークセッション、ルーティング状態はシャットダウンで失われるからです。現代の Windows IR では、WinPmem や DumpIt でメモリを取得し、KAPE や Velociraptor で揮発性アーティファクトをトリアージしてから、フォレンジックなシャットダウン手順に移るのが定石です。
● 例
- 01
C2 にビーコンしているホストを切断する前に、メモリダンプと netstat 出力を取得する。
- 02
ログアウトで破棄される前に、現行 TLS セッション鍵を RAM から収集する。
● よくある質問
揮発性の順序 (Order of Volatility) とは何ですか?
RFC 3227 で定義された取得優先順位。フォレンジック対応者に対し、上書き・消失する前に最も揮発性の高い証拠から先に収集することを求める。 サイバーセキュリティの フォレンジックと IR カテゴリに属します。
揮発性の順序 (Order of Volatility) とはどういう意味ですか?
RFC 3227 で定義された取得優先順位。フォレンジック対応者に対し、上書き・消失する前に最も揮発性の高い証拠から先に収集することを求める。
揮発性の順序 (Order of Volatility) からどのように防御しますか?
揮発性の順序 (Order of Volatility) に対する防御は通常、上記の定義で述べたとおり、技術的統制と運用上の実践を組み合わせます。
揮発性の順序 (Order of Volatility) の別名は何ですか?
一般的な別名: 揮発性順序, RFC 3227 の順序。