事前の知識がなくても、ネットワークフォレンジックの調査をどのように行うのでしょうか。
ネットワークでフォレンジック調査を実行するように求められています。その理由は、過去数か月の間、ネットワーク上で奇妙なことが起こっているからです。 VLANが削除され、構成が変更され、ネットワークデバイスであらゆる種類の変更が行われています。 ITは、ファイアウォールからSSL VPNデバイス、そしてすべてのスイッチにまで及びます。システム管理者は彼らがいじられているように感じており、何かを見つけることができるかどうかを尋ねられました(私は法医学捜査官ではないため、これは実際の「法医学調査」とはラベル付けされていませんが、単に私に与えるように求められましたこれに最善を尽くします)。
問題は、どうすればそれを実現できるかということです。ログを収集し、会社が変化を感じた頃のイベントを探すだけでいいのでしょうか。 「ダミーのための」基本的な方法論はありますか?この種の調査は簡単な作業ですか、それとも退屈で退屈で時間のかかる作業ですか?
OK。私はこれについて意地悪をしようとしているのではないことを約束します。
質問を言い換えると:これまでの経験がなくてもフォレンジックを実行するにはどうすればよいですか?
あなたはしません。真剣に。基本に触れるダミーの本があり、一般的な状況を説明するWebサイトがいくつかありますが、防御可能なフォレンジック分析を実行するには、適切なトレーニングとドキュメントが必要です。
'の時点では、これは実際の「フォレンジック調査」'とはラベル付けされていません。そうではないかもしれませんが、可能であり、分析で証拠データを変更できる可能性が非常に高いです。これが「実際の」調査になると、悪い状況に陥る可能性があります。
-もし-あなたが書面でこれが法的な問題に向かって進むことは決してないだろうとあなたは完全に補償して、それからダミーのためのコンピュータフォレンジックのコピーを手に入れてボールを持ってください。
フォレンジック調査には、将来の法執行のためにデータを保存することが含まれます。そうするように求められているようには見えません。むしろ、問題を引き起こしているネットワーク上のセキュリティ問題を調査して修正するように求められているようです。それは単なる古いレビューです。彼らがあなたが本物の法医学調査を行うことを期待しているなら、彼らにノーと言ってください、あなたはそれのために装備されていません、そしてあなたがそれを間違えるとあなたはトラブルに巻き込まれるかもしれません。
何が必要で、どれくらいの時間がかかるかについては、依存関係が多すぎるため、これらに答えることはできません。それを達成できるかどうかは、会社が実際に必要なデータをキャプチャしているかどうかによって異なります。
私はこれに次のようにアプローチします:
- 利用可能なセキュリティデータソースのリストの取得:ログ、IDS/IPSシステム
- イベントのリストを取得する:人々はいつこれらの奇妙な出来事が起こったと思いますか?その時、他に何が起こっていましたか?奇妙な出来事をリンクすることはできますか?たとえば、奇妙なことが起こり始めた頃に誰かが会社を辞めたのでしょうか。
- すべてを整理するために、技術スペシャリストの支援を求めてください。それらを使用して、問題の原因を詳しく説明します。あなたが技術のバックグラウンドを持っていないなら、あなたは彼らの助けを必要とするでしょう、そしてあなたが問題を整理するのを助けることは彼らの最善の利益です。技術的な可能性を、データソースで手がかりを検索するために使用できる実用的なクエリに変換してもらいます
- 可能性をデータソースと時間にマッピングします。「何かが起こり始めた」時間に関するログを見るだけでは実を結ぶ可能性は低いので、何を探しているのかを知る必要があります。技術スペシャリストが開発したクエリを使用して、検索に集中します
私があなたの立場にあるなら、私はあなたを助けさせてください。私はネットワークデバイス管理者に最近の変更について尋ね、アクセス制御とパスワード管理手順の見直しを要求します。組織のペースと運営を考えると、あなたがどのような症状を示しているかは、通常は静かです。中国製のものzteまたはhuwaeiについて話しているのでない限り、トップラインネットワークデバイスに対する現在の攻撃ベクトルには事実上存在しないインテリジェントワームがボックスを所有していない限り、フォレンジックは必要ありません。
迅速な勝利が必要な場合は、コアfwの前に適切なIDボックスを配置し、攻撃の症状に関連するものを選択した場合は、すべてのトラフィックを確認できるようにします。