証拠ソース(エンドポイント、メモリ、ログファイル、クラウドアセットなど)を事前に特定し、カタログ化します。
インシデントトリガーが発動した際に、メモリのスナップショットを作成し、ログをアーカイブできるスクリプトやエージェントを準備します。
フォレンジック収集を封じ込め活動の一部に組み込みます。
後付けで済ませるのではなく、フォレンジック調査を開始する前に、明確な「影響の証明」が得られるまで待ってから、メモリやファイルのメタデータなどの重要なアーティファクトを上書きしてしまう組織が多くあります。
3.
コメント