主管看了看報告,恩這時間軸好像少了些什麼步驟,受駭期間該主機上面有被做什麼事嗎,
有一段時間沒有事件Log,真的沒事嗎,還是被隱蔽了?
這個部分已經有把幾台疑似受駭主機做採證了,主機鑑識人員正在調查中,
並將SIEM上觀察到的報告交給他們,加速判斷
除了Sysmon及Windows EventLog之外,直接從主機採證可以獲得更多資訊
主機採證鑑識通常是IR過程中較難執行的一部分
通常事件發生當下警急就把電腦斷電關機了 > 可能會無法做記憶體取證
主機還原 > 該主機幾乎找不回事件軌跡
管理員滅證 > 阿就怕被罵啊
為了避免失去證據,可以宣導/教育訓練人員,遇到資安事件只先拔除網路線,
通知資安窗口後,再由資安人員指導後續操作 (實際上仍以各單位/公司規範為主)
如果是需要上法庭的取證是需要監管鍊/證據鏈 (Chain of custody)確保證據證據力,
這邊只介紹以為了找到駭客軌跡為目標的鑑識(取得根因)。
https://samsclass.info/152/152_F22.shtml
iThome鐵人賽
看影片追技術