#AngaraSOC #DFIRMA Завершаем эту неделю
#AngaraSOC постом Лады Антиповой, эксперта по реагированию на инциденты, о практике форензики.
💬Зачастую, когда мы запрашиваем карту сети при реагировании на инцидент, сталкиваемся с тем, что.... ее просто нет. При этом на вопрос, что доступно из сети, получаем два варианта ответа:
📧 да нет, у нас только почта
⌛ ситуация обратная - длительное перечисление хостов...
Мы в любом случае все найдем и проверим. Но чтобы сэкономить время, предлагаем чек-лист, чтобы оценить, насколько вы владеете знанием о своей инфраструктуре:
Ведете ли вы учет активов? Если на этот вопрос про количество серверов отвечаете "штук 200-300", это повод провести аудит
Контролируете ли вы сетевой трафик? Помимо правил, это про логи с файерволла (можно даже дополнительно их визуализировать), либо вести журналы доступа и ошибок (!) веба, который хостится у вас
Есть ли у вас возможности по перехвату сырого трафика и какие именно?
Ну и наконец, а какие все же логи вы собираете/храните? Это может быть NetFlow, DNS, DHCP, FW, IPS/IDS, VPN, прокси, почтовые шлюзы: всегда нужно иметь четкое понимание, где и что расположено.
Лада ведет
канал о буднях форензиков, welcome