cs:navody:postup-analyza

Rozdíly

Zde můžete vidět rozdíly mezi vybranou verzí a aktuální verzí dané stránky.

Odkaz na výstup diff

Následující verze
Předchozí verze
cs:navody:postup-analyza [14.11.2014 15:27]
apadrta@cesnet.cz vytvořeno
cs:navody:postup-analyza [13.03.2015 11:46]
apadrta@cesnet.cz zrušena možnost AFS
Řádek 2: Řádek 2:
 Zde je v jednotlivých krocích popsáno, jak postupovat při využití služeb forenzní laboratoře k analýze proběhlých událostí. Zde je v jednotlivých krocích popsáno, jak postupovat při využití služeb forenzní laboratoře k analýze proběhlých událostí.
  
-====== Kontaktujte forenzní tým ======+===== Kontaktujte forenzní tým =====
 V první řadě [[cs:​kontakt|kontaktujte]] některého z členů forenzního týmu, abychom si mohli dohodnout další postup. Následující kroky totiž závisí na charakteru incidentu - například většinou postačí obraz systémového disku, ale někdy je třeba získat více vstupních dat.  V první řadě [[cs:​kontakt|kontaktujte]] některého z členů forenzního týmu, abychom si mohli dohodnout další postup. Následující kroky totiž závisí na charakteru incidentu - například většinou postačí obraz systémového disku, ale někdy je třeba získat více vstupních dat. 
  
-====== Zajistěte data ======+===== Zajistěte data =====
 V dalším kroku je potřeba zajistit potřebná vstupní data podle předchozí domluvy, na jejichž základě bude provedena analýza. Prakticky po vás mohou být požadovány některé z následujících úkonů: V dalším kroku je potřeba zajistit potřebná vstupní data podle předchozí domluvy, na jejichž základě bude provedena analýza. Prakticky po vás mohou být požadovány některé z následujících úkonů:
   * vytvořte obraz paměti u běžícího počítače podle [[cs:​navody:​memory-image|připraveného návodu]],   * vytvořte obraz paměti u běžícího počítače podle [[cs:​navody:​memory-image|připraveného návodu]],
Řádek 13: Řádek 13:
   * zajistěte další souvztažné logy (netflow, IDS, apod.)   * zajistěte další souvztažné logy (netflow, IDS, apod.)
  
-====== Popište událost ​======+===== Popište událost =====
 Krátce popište známý průběh události (nejčastěji bezpečnostního incidentu), abychom měli potřebný kontext a mohli se lépe orientovat v nám neznámem prostředí vaší organizace. Uveďte zejména Krátce popište známý průběh události (nejčastěji bezpečnostního incidentu), abychom měli potřebný kontext a mohli se lépe orientovat v nám neznámem prostředí vaší organizace. Uveďte zejména
   * charakter počítače (server, pracovní stanice),   * charakter počítače (server, pracovní stanice),
Řádek 21: Řádek 21:
   * co se dělo s počítačem od detekce incidentu ​   * co se dělo s počítačem od detekce incidentu ​
  
-====== Formulujte otázky ​======+===== Formulujte otázky =====
 Specifikujte otázky, na které chcete znát odpověď. Měly by být co nejkonkrétnější,​ ale v některých případech se obecné formulaci pochopitelně nedá vyhnout. Forenzní analytici se budou snažit získat příslušné odpovědi ze zajištěných vstupních dat. S formulací otázek vám můžeme na základě svých zkušeností také pomoci. Specifikujte otázky, na které chcete znát odpověď. Měly by být co nejkonkrétnější,​ ale v některých případech se obecné formulaci pochopitelně nedá vyhnout. Forenzní analytici se budou snažit získat příslušné odpovědi ze zajištěných vstupních dat. S formulací otázek vám můžeme na základě svých zkušeností také pomoci.
  
-====== Doručte nám zajištěná data ======+===== Doručte nám zajištěná data =====
 Obrazy disků, logy a další velká data nám může doručit jedním z následujících způsobů (seřazeno podle praktičnosti):​ Obrazy disků, logy a další velká data nám může doručit jedním z následujících způsobů (seřazeno podle praktičnosti):​
   - použijte **službu CESNETu ​ pro posílání velkých souborů** - [[http://​filesender.cesnet.cz/​|FileSender]]. Nemůžete-li se přihlásit,​ dejte vědět a pošleme vám jednorázový link nevyžadující autentizaci.   - použijte **službu CESNETu ​ pro posílání velkých souborů** - [[http://​filesender.cesnet.cz/​|FileSender]]. Nemůžete-li se přihlásit,​ dejte vědět a pošleme vám jednorázový link nevyžadující autentizaci.
-  - používáte-li ** [[http://​www.openafs.org/​|distribuovaný souborový systém AFS]]**, nastavte přístup pro naše principaly (knykles@zcu.cz nebo apadrta@zcu.cz - pozor nejde o e-mailové adresy) a zašlete nám příslušný odkaz. 
   - nahrajte data na **vlastní WWW/FTP/SSH server** a poskytněte nám údaje potřebné ke stažení .   - nahrajte data na **vlastní WWW/FTP/SSH server** a poskytněte nám údaje potřebné ke stažení .
   - pošlete řádně zabalený disk s daty **poštou/​kurýrní službou** na adresu, kterou si domluvíme.   - pošlete řádně zabalený disk s daty **poštou/​kurýrní službou** na adresu, kterou si domluvíme.
  
-====== Co bude následovat? ​======+===== Co bude následovat?​ =====
 Pracovníci FLAB zařadí vaši zakázku do fronty a začnou ji v co nejkratší době řešit. V průběhu se na vás mohou obrátit s doplňujícími dotazy. Ve výsledku pak **dostanete závěrečnou zprávu**, kde bude shrnuto zadání úkolu, popsán proces hledání odpovědí na vaše otázky a vlastní odpovědi. ​ Pracovníci FLAB zařadí vaši zakázku do fronty a začnou ji v co nejkratší době řešit. V průběhu se na vás mohou obrátit s doplňujícími dotazy. Ve výsledku pak **dostanete závěrečnou zprávu**, kde bude shrnuto zadání úkolu, popsán proces hledání odpovědí na vaše otázky a vlastní odpovědi. ​
  
Poslední úprava:: 13.03.2015 11:46