8、初始分类与实时响应：数据分析

初始分类与实时响应：数据分析

1. 引言

在收集了目标系统的所有易失性信息并将其关机后，如何将这些看似无关的数据转化为有意义的信息，以帮助我们弄清楚发生了什么呢？不同的案例需要从易失性数据中获取的信息会有所不同，但解析这些信息的方法应该保持一致。每个人分析信息的顺序可能不同，有人喜欢从日志文件开始，有人从用户信息入手，还有人从网络连接开始。以下是一份易失性分析的个人大纲，可根据自身风格进行调整。

2. 初始分类

在深入分析主机之前，需要确定事件的基线参数。这一阶段要多问问题、记录信息并明确事件的参数。由于事件带来的压力和上级的要求，初始分类阶段获得的信息可能不太准确，所以调查人员要保持冷静。以下是需要彻底了解的事项：
-时间线：尽可能将事件限定在一个特定的时间窗口内，这可能因事件性质而异，但应尽力而为。比如，有些案例可以将范围缩小到特定的一天甚至几个小时，而有些可能涵盖数年。若不这样做，可能会严重影响后续调查。
-网络拓扑：向客户索要其基础设施的高级网络拓扑图，了解网络布局。
-数据流：拿到网络拓扑图后，要理解数据流。明确进出点、同一子网的其他系统以及是否存在跨域信任等。很多客户只关注IT人员确定的事件范围，调查人员需要扩大关注范围，后续在日志分析中确定哪些系统真正涉及其中。
-安全设备：了解客户网络上有哪些安全设备以及是否进行日志记录。很多客户知道应该记录日志，但由于资源问题未能实施。要询问设备位置并索要相关日志。
-受影响系统的状态