取证与应急响应
DFIR(数字取证与事件响应)
别称: 数字取证和事件响应
定义
将数字取证调查与事件响应相结合的综合学科,用于检测、遏制、清除并总结网络安全事件。
DFIR 团队在安全事件发生期间及之后开展工作,以查明真相、评估影响范围、清除对手并产出具备证据效力的结论。其流程遵循事件处置方面的 NIST SP 800-61 以及证据处理方面的 NIST SP 800-86 / ISO/IEC 27037,在需要时将实时响应(EDR 查询、使用 KAPE 或 Velociraptor 的快速取证)与完整的取证镜像相结合。分析人员综合端点、内存、网络与云端遥测,重建并映射到 MITRE ATT&CK 的战术、技术与流程。最终产出包括失陷指标、根因、修复指南以及推动检测与防御提升的经验教训。
示例
- 勒索软件爆发后启用 DFIR 服务:使用 Velociraptor 进行分类、对关键主机制作镜像并制定遏制方案。
- 跨终端与云日志重建一次 APT 入侵,定位初始接入与横向移动路径。
相关术语
数字取证
以法律可采信的方式对计算机、网络与设备中的数字证据进行识别、保全、分析和报告的科学学科。
事件响应
针对网络安全事件进行准备、检测、分析、遏制、根除和恢复并总结经验教训的有组织流程。
事件响应计划
经过批准的书面剧本,规定组织如何对网络安全事件进行准备、检测、遏制、根除、恢复并总结教训。
证据保管链
对每一份证据从查扣到最终处置过程中,每位经手人、所处地点与所执行操作进行的有序、可追溯的书面记录。
Threat Hunting
Threat Hunting — definition coming soon.
MITRE ATT&CK
由 MITRE 维护、面向全球开放的对手战术与技术知识库,基于真实攻击观察持续更新。