Mi viene chiesto di eseguire un'indagine forense su una rete. Il motivo è che negli ultimi mesi stanno accadendo cose strane sulla rete. Le VLAN vengono eliminate, vengono apportate modifiche alla configurazione e si verificano tutti i tipi di modifiche sui dispositivi di rete. L'IT spazia dai Firewall, al dispositivo SSL VPN e fino agli switch. Gli amministratori di sistema si sentono come se fossero stati giocati, e mi è stato chiesto di vedere se riesco a trovare qualcosa (questa non è stata etichettata come una vera "indagine forense" dal momento che non sono un investigatore forense, ma mi è stato semplicemente chiesto di darmi miglior sforzo su questo).
La domanda è, come faccio a farlo? Tutto appena arriva alla raccolta dei log e alla ricerca di eventi nel periodo in cui l'azienda ha avvertito i cambiamenti? Esiste una metodologia di base "for-dummies"? Questo tipo di indagine è un compito facile o è uno sforzo noioso e noioso che richiede tempo?