首先我們要講到的是 – 收集資源
當資安事件發生後,因應疫情可能無法到現場,可以透過於事件端點上以系統管理員身份執行WinIRAnalyzer,而其中包含兩大開源套件:此系統整合開源套件 CDIR (Cyber Defense Investigation Repository) 以及 DFIR-Toolkit ,為追求快速警急應變,可以透過 CDIR 資源蒐集套件快速的將端點資源及系統記憶體,亦可以透過DFIR-Toolkit套件來進行更全面資源收集,包含系統服務、連線狀態、工作排程、設備日誌、訪問記錄以及端點防護記錄等更全面的資源。
該程式主要根據事件的緊急程度進行判斷,若為緊急事件,僅收集CDIR-Collector的資源,而不進行記憶體收集;但若有足夠的處理時間,建議收集記憶體資料,並執行DFIR-Toolkit進行完整收集。