-1

私は、コンピュータの侵入にどのように対応するかについて、非常に優れた情報源や書籍を探しています。このテーマに触れ、フォレンジック アーティファクトを取得するためのツールやテクニックを説明している本をたくさん見つけましたが、ハウツー ガイド/プロセスを探しています。

たとえば、次のように読みます。まず、IR 対応を開始する前に、インシデントが実際に発生したことを確認します。この状況で私は正確に何をしますか?私には多くの選択肢が残されています。問題のある IP アドレスが現在ボックスにあるかどうかを確認するために netstat を実行するか、疑わしいファイルを見つけることができるかどうかを確認するためにファイル システムを評価するかなどです。もちろん、これらの決定のそれぞれには、データの残留効果があります。後で説明する必要があります。次に、大規模なネットワーク内の多数のコンピューターが影響を受ける状況にどのように対処しますか。1 つを駆除しても、他のウイルスはまだそこに残っている可能性があり、再感染する可能性があります。このような疑問に答えてくれる情報源を探しています。

誰かが良い情報源を提案できますか。このため?

4

2 に答える 2

1

質問の 2 番目の部分では、再感染を防ぐために、大規模なネットワーク上でハッキングされたすべてのコンピューターを特定するための IR について尋ねました。参考までに、ここにそのトピックに関する論文があります。これは初期の IR 論文の 1 つですが、参考になるかもしれません。

「軍の戦場インテリジェンス プロセスを使用したインシデント対応のための侵入検知」 http://seclab.cs.ucdavis.edu/papers/science.pdf

于 2013-01-23T18:49:37.460 に答える
0

インシデント対応 (IR) の標準運用手順 (SOP)、つまり IR クックブックを探しているようです。私の経験から、IR のプロセスと手法は、保護される資産、利用可能なリソース、技術的なスキル レベルなどの違いにより、組織によって大きく異なる可能性があります。また、個々の調査は、攻撃の種類、関連する技術 (例: 、システムおよびネットワーキング)、利用可能なセキュリティ リソース、セキュリティ モニタリング (ログ) など。このすべてのバリエーションにより、IR の SOP を作成する機会が制限されます。

たとえば、2 人のシスコの著者によるセキュリティ モニタリングに関する優れた本があります。一般的には強くお勧めしますが、彼らが持っているすべてのセキュリティ リソースとスキルを持っているとは限りません。彼らにとってうまくいくものは、あなたの環境では適切ではないかもしれません.

「セキュリティ監視: エンタープライズ ネットワークでのインシデント検出のための実証済みの方法」 http://www.amazon.com/Security-Monitoring-Incident-Detection-Enterprise/dp/0596518161

いずれにしても、IR クックブック ソリューションを探している場合は、IR SOP のこれらの制限を考慮することが役立つ場合があります。

于 2013-01-23T18:44:55.467 に答える