Forense de rede
O que é Forense de rede?
Forense de redeCaptura, registo e análise de tráfego e metadados de rede para investigar eventos de segurança e reconstruir a atividade do atacante.
A forense de rede examina capturas de pacotes (PCAP), NetFlow/IPFIX, logs de DNS, proxy, firewall e IDS para identificar vetores de intrusão, canais de exfiltração, C2 e movimento lateral. As abordagens vão de captura total permanente a sniffing dirigido em pontos-chave. Ferramentas: Wireshark, Zeek, Suricata, tcpdump, Arkime/Moloch e plataformas NDR comerciais. Os analistas correlacionam fluxos com dados de endpoint e SIEM, descodificando HTTP, metadados TLS, DNS, SMB e usando fingerprints JA3/JA4. Como o tráfego é volátil, políticas de retenção, armazenamento seguro e cadeia de custódia desde os sensores são críticos para a admissibilidade ao abrigo da ISO/IEC 27037.
● Exemplos
- 01
Reconstrução das sessões HTTP de C2 do atacante a partir do conn.log do Zeek e excerto de PCAP.
- 02
Identificação de exfiltração por túnel DNS analisando a distribuição de comprimento de consultas no NetFlow.
● Perguntas frequentes
O que é Forense de rede?
Captura, registo e análise de tráfego e metadados de rede para investigar eventos de segurança e reconstruir a atividade do atacante. Pertence à categoria Forense e resposta da cibersegurança.
O que significa Forense de rede?
Captura, registo e análise de tráfego e metadados de rede para investigar eventos de segurança e reconstruir a atividade do atacante.
Como se defender contra Forense de rede?
As defesas contra Forense de rede costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.
Quais são outros nomes para Forense de rede?
Nomes alternativos comuns: NetFor, Forense de tráfego.