Криминалистика и реагирование
DFIR (Цифровая криминалистика и реагирование на инциденты)
Также известно как: Криминалистика и реагирование на инциденты
Определение
Совмещённая дисциплина, объединяющая цифровое криминалистическое расследование и реагирование на инциденты для обнаружения, сдерживания, ликвидации и извлечения уроков из инцидентов ИБ.
Примеры
- Активация ретейнера DFIR после развёртывания шифровальщика: триаж Velociraptor, образы ключевых хостов, план сдерживания.
- Реконструкция APT-инцидента по телеметрии конечных точек и облачным журналам для определения первичного доступа и латерального движения.
Связанные термины
Цифровая криминалистика
Научная дисциплина по выявлению, сохранению, анализу и документированию цифровых доказательств с компьютеров, сетей и устройств в юридически допустимой форме.
Реагирование на инциденты
Организованный процесс подготовки, обнаружения, анализа, сдерживания, устранения и восстановления после инцидентов ИБ с фиксацией уроков.
План реагирования на инциденты
Утверждённый документ, описывающий, как организация готовится, обнаруживает, сдерживает, ликвидирует, восстанавливается и извлекает уроки из киберинцидентов.
Цепочка хранения доказательств
Хронологически задокументированный след всех лиц, мест и действий, влиявших на доказательство от изъятия до окончательного распоряжения им.
Threat Hunting
Threat Hunting — definition coming soon.
MITRE ATT&CK
Глобально доступная база знаний о тактиках и техниках противников, наблюдаемых в реальных атаках, поддерживаемая MITRE.