Криминалистика и реагирование
Сетевая криминалистика
Также известно как: NetFor, Криминалистика трафика
Определение
Захват, запись и анализ сетевого трафика и метаданных для расследования инцидентов и восстановления действий злоумышленника.
Примеры
- Реконструкция HTTP-сессий C2 атакующего по conn.log Zeek и фрагменту PCAP.
- Обнаружение DNS-туннелирования по распределению длин запросов в NetFlow.
Связанные термины
Цифровая криминалистика
Научная дисциплина по выявлению, сохранению, анализу и документированию цифровых доказательств с компьютеров, сетей и устройств в юридически допустимой форме.
DFIR (Цифровая криминалистика и реагирование на инциденты)
Совмещённая дисциплина, объединяющая цифровое криминалистическое расследование и реагирование на инциденты для обнаружения, сдерживания, ликвидации и извлечения уроков из инцидентов ИБ.
Система обнаружения вторжений (IDS)
Пассивное средство безопасности, отслеживающее сетевую или хостовую активность на признаки вредоносного поведения и формирующее оповещения без блокирования трафика.
Сетевая IDS (NIDS)
Сенсор обнаружения вторжений, который анализирует трафик, захваченный с сетевого сегмента, для выявления вредоносных шаблонов и нарушений политики.
Log Analysis
Log Analysis — definition coming soon.
NDR (обнаружение и реагирование в сети)
Технология сетевой безопасности, анализирующая трафик (включая расшифрованный, метаданные и потоковые данные) с помощью поведенческой аналитики и ML, чтобы обнаруживать угрозы и оркестровать реагирование.