Forense e resposta
DFIR (Forense digital e resposta a incidentes)
Também conhecido como: Forense digital e resposta a incidentes
Definição
Disciplina combinada que une investigação forense digital e resposta a incidentes para detetar, conter, erradicar e aprender com incidentes cibernéticos.
Exemplos
- Ativação de retainer DFIR após detonação de ransomware: triagem com Velociraptor, imagens dos hosts críticos e plano de contenção.
- Reconstrução de uma intrusão APT a partir de telemetria de endpoint e logs de nuvem para identificar acesso inicial e movimento lateral.
Termos relacionados
Forense digital
Disciplina científica que identifica, preserva, analisa e relata evidências digitais de computadores, redes e dispositivos de forma juridicamente defensável.
Resposta a incidentes
Processo organizado para preparar, detetar, analisar, conter, erradicar e recuperar de incidentes de cibersegurança, capturando lições aprendidas.
Plano de resposta a incidentes
Documento aprovado que descreve como a organização se prepara, deteta, contém, erradica e recupera de incidentes cibernéticos e captura lições.
Cadeia de custódia
Registo cronológico e documentado de cada pessoa, local e ação que afetam uma evidência desde a apreensão até à sua disposição final.
Threat Hunting
Threat Hunting — definition coming soon.
MITRE ATT&CK
Base de conhecimento global e aberta sobre táticas e técnicas de adversários observadas em ataques reais, mantida pela MITRE.