Ho pensato di far apparire alcuni degli strumenti che io o il mio team abbiamo dovuto usare in alcune occasioni. Supponendo che un server sia compromesso (e tu abbia il tuo computer forensic toolkit a disposizione per dare un'occhiata) allora vorrei vuoi quanto segue:
- Wireshark
- tcpdump
- ngrep
- script grep / perl (anche se sto imparando lentamente Ruby)
- netflows (anche se guardando Argus penso che potrebbe essere una scommessa migliore)
A seconda della valutazione iniziale del server, è possibile staccare la corrente, disconnettersi dalla rete o cadere in una rete investigativa. Se sto prendendo il potere, allora voglio esaminare l'infrastruttura intorno al server e il percorso verso Internet, cercando compromessi all'interno della rete e delle comunicazioni attraverso il perimetro. Per la terza opzione, vorrei monitorare i log in tempo reale dalla mia rete di investigazione. In ogni caso vorrei un controllo in tutta la rete per i segnali di compromesso.
Gli strumenti SIEM a questo punto possono essere molto efficaci a livello aziendale: possono essere aggiornati man mano che l'indagine procede, contribuendo a limitare ulteriori compromessi.
Ma la maggior parte dello sforzo verrà dopo il fatto - e la maggior parte dei miei rapporti con i log sono stati tutti giù per la rotta grep.