Сетевая криминалистика
Что такое Сетевая криминалистика?
Сетевая криминалистикаЗахват, запись и анализ сетевого трафика и метаданных для расследования инцидентов и восстановления действий злоумышленника.
Сетевая криминалистика изучает захваты пакетов (PCAP), NetFlow/IPFIX, журналы DNS, прокси, фаервола и IDS, чтобы выявлять векторы проникновения, каналы утечки, командные серверы и латеральное движение. Подходы — от непрерывной полной записи трафика до целевого сниффинга в ключевых точках. Инструменты: Wireshark, Zeek, Suricata, tcpdump, Arkime/Moloch и коммерческие NDR. Аналитики связывают потоки с данными конечных точек и SIEM, расшифровывают HTTP, метаданные TLS, DNS, SMB и применяют отпечатки JA3/JA4 для выявления подозрительных клиентов. Поскольку трафик скоропортящийся, политики хранения, безопасное хранение и цепочка хранения от сенсоров критичны для допустимости по ISO/IEC 27037.
● Примеры
- 01
Реконструкция HTTP-сессий C2 атакующего по conn.log Zeek и фрагменту PCAP.
- 02
Обнаружение DNS-туннелирования по распределению длин запросов в NetFlow.
● Частые вопросы
Что такое Сетевая криминалистика?
Захват, запись и анализ сетевого трафика и метаданных для расследования инцидентов и восстановления действий злоумышленника. Относится к категории Криминалистика и реагирование в кибербезопасности.
Что означает Сетевая криминалистика?
Захват, запись и анализ сетевого трафика и метаданных для расследования инцидентов и восстановления действий злоумышленника.
Как защититься от Сетевая криминалистика?
Защита от Сетевая криминалистика обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия Сетевая криминалистика?
Распространённые альтернативные названия: NetFor, Криминалистика трафика.