Forense e resposta
Forense de rede
Também conhecido como: NetFor, Forense de tráfego
Definição
Captura, registo e análise de tráfego e metadados de rede para investigar eventos de segurança e reconstruir a atividade do atacante.
Exemplos
- Reconstrução das sessões HTTP de C2 do atacante a partir do conn.log do Zeek e excerto de PCAP.
- Identificação de exfiltração por túnel DNS analisando a distribuição de comprimento de consultas no NetFlow.
Termos relacionados
Forense digital
Disciplina científica que identifica, preserva, analisa e relata evidências digitais de computadores, redes e dispositivos de forma juridicamente defensável.
DFIR (Forense digital e resposta a incidentes)
Disciplina combinada que une investigação forense digital e resposta a incidentes para detetar, conter, erradicar e aprender com incidentes cibernéticos.
Sistema de Detecção de Intrusão (IDS)
Controle de segurança passivo que monitora atividades de rede ou host em busca de comportamento malicioso e gera alertas, sem bloquear o tráfego.
IDS Baseado em Rede (NIDS)
Sensor de detecção de intrusão que inspeciona o tráfego capturado de um segmento de rede para identificar padrões maliciosos e violações de política.
Log Analysis
Log Analysis — definition coming soon.
NDR (Network Detection and Response)
Tecnologia de segurança de rede que analisa tráfego — incluindo pacotes decifrados, metadados e flows — através de analítica comportamental e ML para detetar ameaças e orquestrar respostas.