インシデント対応について読んでいます。アーチファクトと証拠という用語を正確に理解できません。私がグーグルで検索したとき、非常に多くのリソースがこれらの用語を一般的に使用しています。これら2つの用語の標準的な定義を見つけるにはどうすればよいですか?それらの違いは何ですか?
Artifact:調査/応答に関連する場合と関連しない場合があるデータの一部。例としては、レジストリキー、ファイル、タイムスタンプ、イベントログなどがあります。 githubの ForensicArtifacts プロジェクトで定義された多くを見ることができます。
Evidence:仮説を支持または否定するため、調査に関連するデータ(成果物)。
インシデント対応ソフトウェアでは、リモートホストからアーティファクトを収集し、それらを分析して証拠であるかどうかを判断する方法について説明します。
アーティファクト:科学的調査または実験で観察されたもので、自然には存在しないが、準備または調査手順の結果として発生したもの。
ハードドライブをプルする場合、データは証拠です。
誰かが暗号化に割り込むためにファイルの所有権を取得する必要があった場合、その人は最終更新者として表示されます。それはアーティファクトです。