Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Русский
Entry № 346

DFIR (Цифровая криминалистика и реагирование на инциденты)

ПроверилCybersecurity entrepreneur & security researcher

Что такое DFIR (Цифровая криминалистика и реагирование на инциденты)?

DFIR (Цифровая криминалистика и реагирование на инциденты)Совмещённая дисциплина, объединяющая цифровое криминалистическое расследование и реагирование на инциденты для обнаружения, сдерживания, ликвидации и извлечения уроков из инцидентов ИБ.

Команды DFIR работают во время и после инцидентов, чтобы понять, что произошло, оценить охват, вытеснить атакующего и подготовить выводы с доказательственным значением. Процессы соответствуют NIST SP 800-61 по обработке инцидентов и NIST SP 800-86 / ISO/IEC 27037 по обращению с доказательствами; сочетают живое реагирование (запросы EDR, сборки KAPE или Velociraptor) и полное криминалистическое снятие при необходимости. Аналитики связывают телеметрию конечных точек, памяти, сети и облака, восстанавливая TTP в терминах MITRE ATT&CK. Итоги — индикаторы компрометации, первопричина, рекомендации по устранению и уроки, усиливающие обнаружение и профилактику.

Примеры

  1. 01

    Активация ретейнера DFIR после развёртывания шифровальщика: триаж Velociraptor, образы ключевых хостов, план сдерживания.

  2. 02

    Реконструкция APT-инцидента по телеметрии конечных точек и облачным журналам для определения первичного доступа и латерального движения.

Частые вопросы

Что такое DFIR (Цифровая криминалистика и реагирование на инциденты)?

Совмещённая дисциплина, объединяющая цифровое криминалистическое расследование и реагирование на инциденты для обнаружения, сдерживания, ликвидации и извлечения уроков из инцидентов ИБ. Относится к категории Криминалистика и реагирование в кибербезопасности.

Что означает DFIR (Цифровая криминалистика и реагирование на инциденты)?

Совмещённая дисциплина, объединяющая цифровое криминалистическое расследование и реагирование на инциденты для обнаружения, сдерживания, ликвидации и извлечения уроков из инцидентов ИБ.

Как защититься от DFIR (Цифровая криминалистика и реагирование на инциденты)?

Защита от DFIR (Цифровая криминалистика и реагирование на инциденты) обычно сочетает технические меры и операционные практики, как описано в определении выше.

Какие есть другие названия DFIR (Цифровая криминалистика и реагирование на инциденты)?

Распространённые альтернативные названия: Криминалистика и реагирование на инциденты.

Связанные термины

См. также