====== Postup zadání analýzy ====== Zde je v jednotlivých krocích popsáno, jak postupovat při využití služeb forenzní laboratoře k analýze proběhlých událostí. ===== Kontaktujte forenzní tým ===== V první řadě [[cs:kontakt|kontaktujte]] některého z členů forenzního týmu, abychom si mohli dohodnout další postup. Následující kroky totiž závisí na charakteru incidentu - například většinou postačí obraz systémového disku, ale někdy je třeba získat více vstupních dat. ===== Zajistěte data ===== V dalším kroku je potřeba zajistit potřebná vstupní data podle předchozí domluvy, na jejichž základě bude provedena analýza. Prakticky po vás mohou být požadovány některé z následujících úkonů: * vytvořte obraz paměti u běžícího počítače podle [[cs:navody:memory-image|připraveného návodu]], * vytvořte obraz disku podle [[cs:navody:disk-image|připraveného návodu]], * zajistěte další informace o počítači (systémový čas v BIOSu, počet disků apod.), * zajistěte souvstažné periferie a paměťová média (USB klíčenky, externí HDD, apod.) * zajistěte další souvztažné logy (netflow, IDS, apod.) ===== Popište událost ===== Krátce popište známý průběh události (nejčastěji bezpečnostního incidentu), abychom měli potřebný kontext a mohli se lépe orientovat v nám neznámem prostředí vaší organizace. Uveďte zejména * charakter počítače (server, pracovní stanice), * způsob používání (interní server, stanice jednoho uživatele, PC v učebně, apod.) * způsob připojení (pevné/wifi, firewall lokální/síťový/žádný), * jak byl incident detekován, * co se dělo s počítačem od detekce incidentu ===== Formulujte otázky ===== Specifikujte otázky, na které chcete znát odpověď. Měly by být co nejkonkrétnější, ale v některých případech se obecné formulaci pochopitelně nedá vyhnout. Forenzní analytici se budou snažit získat příslušné odpovědi ze zajištěných vstupních dat. S formulací otázek vám můžeme na základě svých zkušeností také pomoci. ===== Doručte nám zajištěná data ===== Obrazy disků, logy a další velká data nám může doručit jedním z následujících způsobů (seřazeno podle praktičnosti): - použijte **službu CESNETu pro posílání velkých souborů** - [[http://filesender.cesnet.cz/|FileSender]]. Nemůžete-li se přihlásit, dejte vědět a pošleme vám jednorázový link nevyžadující autentizaci. - nahrajte data na **vlastní WWW/FTP/SSH server** a poskytněte nám údaje potřebné ke stažení . - pošlete řádně zabalený disk s daty **poštou/kurýrní službou** na adresu, kterou si domluvíme. ===== Co bude následovat? ===== Pracovníci FLAB zařadí vaši zakázku do fronty a začnou ji v co nejkratší době řešit. V průběhu se na vás mohou obrátit s doplňujícími dotazy. Ve výsledku pak **dostanete závěrečnou zprávu**, kde bude shrnuto zadání úkolu, popsán proces hledání odpovědí na vaše otázky a vlastní odpovědi.