Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.
Poslední revize Obě strany příští revize | |||
cs:navody:postup-analyza [14.11.2014 15:27] apadrta@cesnet.cz vytvořeno |
cs:navody:postup-analyza [14.11.2014 15:47] apadrta@cesnet.cz |
||
---|---|---|---|
Řádek 2: | Řádek 2: | ||
Zde je v jednotlivých krocích popsáno, jak postupovat při využití služeb forenzní laboratoře k analýze proběhlých událostí. | Zde je v jednotlivých krocích popsáno, jak postupovat při využití služeb forenzní laboratoře k analýze proběhlých událostí. | ||
- | ====== Kontaktujte forenzní tým ====== | + | ===== Kontaktujte forenzní tým ===== |
V první řadě [[cs:kontakt|kontaktujte]] některého z členů forenzního týmu, abychom si mohli dohodnout další postup. Následující kroky totiž závisí na charakteru incidentu - například většinou postačí obraz systémového disku, ale někdy je třeba získat více vstupních dat. | V první řadě [[cs:kontakt|kontaktujte]] některého z členů forenzního týmu, abychom si mohli dohodnout další postup. Následující kroky totiž závisí na charakteru incidentu - například většinou postačí obraz systémového disku, ale někdy je třeba získat více vstupních dat. | ||
- | ====== Zajistěte data ====== | + | ===== Zajistěte data ===== |
V dalším kroku je potřeba zajistit potřebná vstupní data podle předchozí domluvy, na jejichž základě bude provedena analýza. Prakticky po vás mohou být požadovány některé z následujících úkonů: | V dalším kroku je potřeba zajistit potřebná vstupní data podle předchozí domluvy, na jejichž základě bude provedena analýza. Prakticky po vás mohou být požadovány některé z následujících úkonů: | ||
* vytvořte obraz paměti u běžícího počítače podle [[cs:navody:memory-image|připraveného návodu]], | * vytvořte obraz paměti u běžícího počítače podle [[cs:navody:memory-image|připraveného návodu]], | ||
Řádek 13: | Řádek 13: | ||
* zajistěte další souvztažné logy (netflow, IDS, apod.) | * zajistěte další souvztažné logy (netflow, IDS, apod.) | ||
- | ====== Popište událost ====== | + | ===== Popište událost ===== |
Krátce popište známý průběh události (nejčastěji bezpečnostního incidentu), abychom měli potřebný kontext a mohli se lépe orientovat v nám neznámem prostředí vaší organizace. Uveďte zejména | Krátce popište známý průběh události (nejčastěji bezpečnostního incidentu), abychom měli potřebný kontext a mohli se lépe orientovat v nám neznámem prostředí vaší organizace. Uveďte zejména | ||
* charakter počítače (server, pracovní stanice), | * charakter počítače (server, pracovní stanice), | ||
Řádek 21: | Řádek 21: | ||
* co se dělo s počítačem od detekce incidentu | * co se dělo s počítačem od detekce incidentu | ||
- | ====== Formulujte otázky ====== | + | ===== Formulujte otázky ===== |
Specifikujte otázky, na které chcete znát odpověď. Měly by být co nejkonkrétnější, ale v některých případech se obecné formulaci pochopitelně nedá vyhnout. Forenzní analytici se budou snažit získat příslušné odpovědi ze zajištěných vstupních dat. S formulací otázek vám můžeme na základě svých zkušeností také pomoci. | Specifikujte otázky, na které chcete znát odpověď. Měly by být co nejkonkrétnější, ale v některých případech se obecné formulaci pochopitelně nedá vyhnout. Forenzní analytici se budou snažit získat příslušné odpovědi ze zajištěných vstupních dat. S formulací otázek vám můžeme na základě svých zkušeností také pomoci. | ||
- | ====== Doručte nám zajištěná data ====== | + | ===== Doručte nám zajištěná data ===== |
Obrazy disků, logy a další velká data nám může doručit jedním z následujících způsobů (seřazeno podle praktičnosti): | Obrazy disků, logy a další velká data nám může doručit jedním z následujících způsobů (seřazeno podle praktičnosti): | ||
- použijte **službu CESNETu pro posílání velkých souborů** - [[http://filesender.cesnet.cz/|FileSender]]. Nemůžete-li se přihlásit, dejte vědět a pošleme vám jednorázový link nevyžadující autentizaci. | - použijte **službu CESNETu pro posílání velkých souborů** - [[http://filesender.cesnet.cz/|FileSender]]. Nemůžete-li se přihlásit, dejte vědět a pošleme vám jednorázový link nevyžadující autentizaci. | ||
Řádek 31: | Řádek 31: | ||
- pošlete řádně zabalený disk s daty **poštou/kurýrní službou** na adresu, kterou si domluvíme. | - pošlete řádně zabalený disk s daty **poštou/kurýrní službou** na adresu, kterou si domluvíme. | ||
- | ====== Co bude následovat? ====== | + | ===== Co bude následovat? ===== |
Pracovníci FLAB zařadí vaši zakázku do fronty a začnou ji v co nejkratší době řešit. V průběhu se na vás mohou obrátit s doplňujícími dotazy. Ve výsledku pak **dostanete závěrečnou zprávu**, kde bude shrnuto zadání úkolu, popsán proces hledání odpovědí na vaše otázky a vlastní odpovědi. | Pracovníci FLAB zařadí vaši zakázku do fronty a začnou ji v co nejkratší době řešit. V průběhu se na vás mohou obrátit s doplňujícími dotazy. Ve výsledku pak **dostanete závěrečnou zprávu**, kde bude shrnuto zadání úkolu, popsán proces hledání odpovědí na vaše otázky a vlastní odpovědi. | ||