Windows 10のインシデント対応計画の一部として収集すべきフォレンジックは何ですか?
システムハックに対応するIRPを作成中です。
私は、Kali LinuxソフトウェアのMetasploitを使用してWindows 10自身(犠牲者のマシン)を攻撃しました。そこで、SSHポート22経由でアクセスできました。そこから、犠牲マシンのファイル拡張子の変更、個人用フォルダーへのアクセスなどを行いました。
私のIRPの一部として、攻撃が行われ、ファイルがアクセスされたことを証明するために他に役立つ領域はありますか?私のIRPは(これまでのところ)調査しています。
- Windowsイベントビューア(アプリケーションログ、システムログ、セキュリティログ)
- OpenSSHログファイル
他のどの代替案も大歓迎です。
ほとんどのガイドでは、プロセス、ネットワーク接続、およびイベントログを調査することを求めています。これはお勧めしません。
この素晴らしいガイドなどのその他- https://unminioncurioso.blogspot.com/2019/03/dfir-first-steps-with-volatility.html -詳細について タイムライン と、Amcacheなどの特定のレジストリハイブは、何が起こったかについてのユニークなビューを提供します。
アーティファクトを転送した後、ゲストVMとしてこれらのいずれかを使用して分析を実行します。