cs:navody:postup-analyza

Postup zadání analýzy

Zde je v jednotlivých krocích popsáno, jak postupovat při využití služeb forenzní laboratoře k analýze proběhlých událostí.

Kontaktujte forenzní tým

V první řadě kontaktujte některého z členů forenzního týmu, abychom si mohli dohodnout další postup. Následující kroky totiž závisí na charakteru incidentu - například většinou postačí obraz systémového disku, ale někdy je třeba získat více vstupních dat.

Zajistěte data

V dalším kroku je potřeba zajistit potřebná vstupní data podle předchozí domluvy, na jejichž základě bude provedena analýza. Prakticky po vás mohou být požadovány některé z následujících úkonů:

  • vytvořte obraz paměti u běžícího počítače podle připraveného návodu,
  • vytvořte obraz disku podle připraveného návodu,
  • zajistěte další informace o počítači (systémový čas v BIOSu, počet disků apod.),
  • zajistěte souvstažné periferie a paměťová média (USB klíčenky, externí HDD, apod.)
  • zajistěte další souvztažné logy (netflow, IDS, apod.)

Popište událost

Krátce popište známý průběh události (nejčastěji bezpečnostního incidentu), abychom měli potřebný kontext a mohli se lépe orientovat v nám neznámem prostředí vaší organizace. Uveďte zejména

  • charakter počítače (server, pracovní stanice),
  • způsob používání (interní server, stanice jednoho uživatele, PC v učebně, apod.)
  • způsob připojení (pevné/wifi, firewall lokální/síťový/žádný),
  • jak byl incident detekován,
  • co se dělo s počítačem od detekce incidentu

Formulujte otázky

Specifikujte otázky, na které chcete znát odpověď. Měly by být co nejkonkrétnější, ale v některých případech se obecné formulaci pochopitelně nedá vyhnout. Forenzní analytici se budou snažit získat příslušné odpovědi ze zajištěných vstupních dat. S formulací otázek vám můžeme na základě svých zkušeností také pomoci.

Doručte nám zajištěná data

Obrazy disků, logy a další velká data nám může doručit jedním z následujících způsobů (seřazeno podle praktičnosti):

  1. použijte službu CESNETu pro posílání velkých souborů - FileSender. Nemůžete-li se přihlásit, dejte vědět a pošleme vám jednorázový link nevyžadující autentizaci.
  2. nahrajte data na vlastní WWW/FTP/SSH server a poskytněte nám údaje potřebné ke stažení .
  3. pošlete řádně zabalený disk s daty poštou/kurýrní službou na adresu, kterou si domluvíme.

Co bude následovat?

Pracovníci FLAB zařadí vaši zakázku do fronty a začnou ji v co nejkratší době řešit. V průběhu se na vás mohou obrátit s doplňujícími dotazy. Ve výsledku pak dostanete závěrečnou zprávu, kde bude shrnuto zadání úkolu, popsán proces hledání odpovědí na vaše otázky a vlastní odpovědi.

Poslední úprava: 13.03.2015 11:46