Sto leggendo sulla risposta all'incidente. Non riesco a capire esattamente i termini artefatto e prove. Quando ho cercato su Google, molte risorse utilizzano questi termini in genere. Come posso trovare le definizioni standard per questi due termini? e qual è la differenza tra loro?
Artefatto : un dato che può o non può essere rilevante per l'indagine / risposta. Gli esempi includono chiavi di registro, file, timestamp e registri eventi. Puoi vedere molti definiti nel progetto ForensicArtifacts su github.
Evidenza : un pezzo di dati (artefatto) pertinente alla tua indagine perché supporta o confuta un'ipotesi.
Con il nostro software di risposta agli incidenti, parliamo di raccogliere gli artefatti dagli host remoti e analizzarli per determinare se sono prove.
Artifact: Something observed in a scientific investigation or experiment that is not naturally present but occurs as a result of the preparative or investigative procedure.
Se si tira su un disco rigido i dati sono evidenti.
Se qualcuno dovesse assumere la proprietà di un file per entrare in qualche crittografia, quella persona mostrerà l'ultimo aggiornamento di. Questo è un artefatto.
Artefatti potrebbe essere qualcosa di supporto come un SOP o linee guida che spieghino il processo da seguire.
Evidence sarebbe qualcosa che dimostra che il processo viene seguito.
Leggi altre domande sui tag forensics incident-response investigation