Первый этап реагирования на ИБ‑инцидент — это обработка событий и поиск в них артефактов. Затем специалист строит таймлайны и определяет вектор и время атаки. В этой статье мы поговорим об инструментах, которые облегчают этот труд и помогают в расследовании, в особенности когда данных очень много.

Зна­ешь, что делать, чтобы найти следы инцидента на машине с Linux? Если нет, сей­час рас­ска­жем. А если зна­ешь, все рав­но пог­ляди! Мы соб­рали рецеп­ты на все слу­чаи жиз­ни, а в кон­це статьи поделим­ся под­боркой полез­ных инс­тру­мен­тов.

В этой статье я покажу, как извлекать основные артефакты из образов оперативной памяти Windows. Мы восстановим процесс атаки, чтобы расследовать инцидент. В этом нам поможет лабораторная работа TeamSpy с ресурса CyberDefenders.