什么是 DFIR
数字取证和事件响应(DFIR)计划是一种系统化和文档化的方法,用于处理和管理由 IT 安全事件或漏洞导致的情况,以及收集与这些事件或漏洞相关的证据。DFIR 计划用于企业 IT 环境和设施中,以识别、响应、限制和应对发生的安全事件。
处理事故的最佳方法是做好准备并已采取必要的预防措施。这涉及到一个具体的过程,即确定一组人员组成事故响应小组,确保他们接受过有关他们可能需要执行的任何程序的良好培训,创建一个称为事故响应计划的详细文件,并不断实践和更新事故响应计划。DFIR 计划应为每种类型的事件制定详细的步骤,确定要执行的行动、执行的顺序以及涉及哪些团队成员。这不是您是否需要制定数字取证和事件响应流程和计划的问题。这仅取决于您何时使用它。
DFIR 计划的阶段
以下列表提供了检查 DFIR 计划的每个阶段以及使用云资源实施计划时的重要差异的视频:
概述:传统的数字取证和事件响应非常依赖物理系统和物理访问。但是,大多数组织现在在云中运行一项或多项服务。为了解决现代混合基础设施的问题,您的数字取证和事件响应计划必须考虑到位于您场所之外的虚拟系统。
准备:准备确保 DFIR 处于准备执行状态。准备工作还确保人员得到培训,并提前满足基础设施和软件需求。
检测:检测处理事件的初始标识和分类,并通过调查和记录为事件响应建立命令链。一个安全编排,自动化和响应(SOAR)平台可以从任意数量的安全性以及网络上的网络设备,以及监控的电子邮件收件箱自动警报或事件的摄入。
遏制:遏制阻止事件的严重性或范围增加。遏制可以保护组织。SOAR 平台可以编排各种安全和网络工具,以从系统收集证据、关闭对系统的网络访问、关闭系统以及关联警报和事件以帮助识别正在蔓延的危害。
根除:根除可以消除事件的根本原因,以保护受影响的资产并防止进一步的破坏。SOAR 平台从系统收集备份数据、重新构想系统、重新部署容器和运行系统上恶意软件扫描或脚本都可以自动化,并且只需单击一个按钮即可使用。
恢复:恢复将事件发生前的功能恢复到受影响的系统。SOAR 平台可以使用脚本或供应商工具将标准映像推送到系统,恢复备份数据以协助恢复过程,以及验证预期的可访问性和行为是否已恢复。
经验教训:经验教训练习是专注于改进流程和程序的回顾。创建并商定基于事件时间表的事件报告。报告应指明事情发生的时间,并确保每个人都同意细节。经验教训阶段经常被忽视或跳过,但它非常重要,因为它审查事件并找到改进事件响应计划和整体安全态势的机会。
自动化的好处:自动化数字取证和事件响应计划和流程可以提供一些非常有用的好处,例如更好的行动一致性和统一性、提高速度和准确性、更好地跟踪正在发生的事情以及减少与计划本身。从多个工具、环境和来源收集与案例相关的所有数据的过程可以通过 SOAR 平台实现自动化并且大多数 SOAR 平台允许以各种格式导出或报告数据。
转载声明
本文翻译自:Automating DFIR with SOAR,转载连接:https://swimlane.com/blog/automating-dfir-with-soar