九维团队-青队（处置）| 《事件响应和计算机取证》之为不可避免的事件做好准备（四）

除非您的组织投入资源为此类事件做准备，否则您成功进行调查的机会很低。本章节有关事件前准备的内容旨在帮助创建一个基础设施，使组织能够系统地进行调查和纠正。

本章将有助于确保您的团队准备就绪，能够调查、收集、分析和报告信息，以便回答事件期间常见的问题：
• 到底发生了什么？损失是什么，攻击者是如何入侵的？
• 事件是否仍在进行中？
• 被窃取或访问的信息是什么？
• 事件影响了哪些资源？
• 通知和披露责任是什么？
• 应采取哪些步骤来纠正情况？
• 可以采取什么措施来保护企业免受类似事件的影响？

调查本身是具有挑战性的。除非您做好准备，从信息系统中提取必要的数据并进行通信管理同样具有挑战性。本章将帮助您做好准备，从而显着促进成功的调查。我们涵盖了三个高层面：
• 准备组织 这个方面包括识别风险、成功IR的政策、与外包IT的合作、全球基础设施问题以及用户教育等话题。
• 准备IR团队 这个方面包括通信程序和资源，如硬件、软件、培训和文档。
• 准备基础设施 这个方面包括资产管理、工具、文档、调查工具、分割和网络服务。

计算机安全是一个技术性的课题，由于它被认为很容易，因此许多组织倾向于将重点放在技术问题上：购买设备、安装代理和在云中分析“大数据”。相比较而言，资金比招聘熟练的人员或致力于自我提高更容易获得。然而，在大多数调查中，我们经常面临一些非技术性质的重大组织挑战。在本节中，我们涵盖了一些最常见的挑战领域：
• 识别风险
• 推动成功IR的政策
• 与外包IT合作
• 全球基础设施问题的思考
• 教育用户有关基于主机的安全性

预警事件准备的最初步骤涉及获得公司风险的全局视图。您的关键资产是什么？它们的暴露情况如何？威胁是什么？您的组织必须遵守哪些法规要求？（这些通常有一些相关的风险。）通过识别风险，您可以确保您花费资源准备最有可能影响您业务的事件。关键资产是组织中持续成功的关键领域。以下是一些关键资产的示例：
• 公司声誉 消费者是否选择您的产品和服务，部分是因为他们对您组织保护数据的能力有信心？
• 机密商业信息 您是否有关键的营销计划或秘密产品配方？您存储专利、源代码或其他知识产权的位置在哪里？
• 个人可识别信息 您的组织存储或处理PII数据吗？
• 付款账户数据 您的组织存储或处理PCI数据吗？

关键资产是对您的组织产生最大责任或潜在损失的资产。责任通过暴露发生。考虑一下在您的人员、流程或技术中的哪些暴露会导致或促成损失。暴露的例子包括未打补丁的Web服务器、面向互联网的系统、不满意的员工和未受过培训的员工。

另一个有影响力的因素是谁能够利用这些暴露：任何与互联网连接的人？任何能够进入公司建筑的人？只有在安全区域内的个人？将这些因素结合起来以确定风险的优先级。例如，最关键的资产，只有可信个人在受控的物理环境中才能接触到的暴露，可能比暴露在互联网上可接触的资产产生更少的风险。

识别风险至关重要，因为它使您可以以最有效的方式使用资源。您的环境中并不应该对每个资源都采取相同的安全保护级别。引入最大风险的资产会获得最多的资源。

在IR期间，您的团队所做的每一个调查步骤都受到应该在第一次通知之前就准备好的政策的影响。在大多数情况下，信息安全政策是由组织的法律顾问与CISO办公室和合规官员合作编写和执行的。典型的政策包括：
• 可接受使用政策管理每个用户的预期行为。
• 安全策略为组织内敏感数据和资源的保护建立期望。该政策的子部分可以涉及物理、电子和数据安全问题。
• 远程访问政策确定谁可以连接到组织的资源以及对连接施加哪些控制。
• 互联网使用政策为通用互联网资源的适当使用建立了期望，包括隐私期望和由组织或代表组织进行监控的通知。

IR团队最应关注的政策将涉及公司拥有资源的搜查和扣押以及网络流量拦截的期望。如果这两个（诚然是一般性的）问题得到解决，团队就应该能够执行大多数调查行动。如本章的其他地方所述，请注意会影响您行动的当地隐私法律。在一个办公室进行的行动可能会违反另一个联邦法律。

网上资源：

SANS sans.org/security-resources/policiesISO 27002:2005 www.iso.org

在许多大型组织中，甚至包括一些中小型组织，我们发现至少有一些IT功能是外包的。如果调查需要由外包提供商执行任务，则可能难以完成工作。通常有请求工作的流程，可能需要项目计划、批准或其他繁琐的程序。对于一些小的配置更改，如主机防火墙规则，可能会有额外的费用，有时是每个系统收费。在某些情况下，可能没有工具来完成所请求的任务，因为它超出了合同的范围。当组织请求外包服务进行分析的日志文件时，我们遇到过这种情况。

这些挑战可能会妨碍调查的有效进行。每个组织都应该与他们的供应商合作，确保包括响应关键请求的服务级别协议（SLA）和执行超出合同范围的工作的选项的安排。如果没有适当的协议，您可能会发现自己在紧急情况下无助。

近年来，我们与一些大型跨国组织进行了许多入侵调查。在这些调查中，我们遇到了一些新的有趣的挑战，这使我们对如何正确调查跨越国界的事件有了一些见解。虽然我们没有所有的答案，但我们可以让您了解一些可能面临的挑战，以便您有时间做好准备。

隐私和劳动法规
作为调查人员，我们通常将组织的网络视为等待我们查找的大量证据资源。如果您决定搜索违规指标并且您使用的方法违反了当地的隐私法律或联邦劳动法规，则很容易陷入麻烦。如果您计划调查涉及横跨多个国家的网络的事件，则需要在开始之前做一些功课。您应该与每个国家的组织法律顾问联系，讨论情况并确定您可以采取哪些措施。

团队协调
跨越全球的事件的另一个重要挑战是协调。因为人员和技术资源将分散在许多时区，所以保持组织需要仔细的计划和不断的努力来确保所有人都保持同步。因为有些人员可能在您醒着的时候睡觉，所以完成工作可能需要更长的时间。跟踪任务和执行交接将是关键，以确保有可接受的进展。由于参与者处于不同的时区，安排会议可能需要数天时间。

数据可访问性

在调查过程中，需要收集大量数据进行分析。通常，这些数据以单个大数据集的形式存在，例如硬盘镜像。当核心团队负责执行大部分分析任务时，您必须找到一种有效的方法将这些数据传输给具有取证分析经验的团队成员。虽然您应该记住源和目的国家的任何海关文件或限制，但最大的挑战将是获取相关数据并将其传递给正确人员的延迟。如果有任何问题需要传输数据，请立即开始该过程。由于沟通不畅或犹豫不决而失去了多个工作日。

用户在整体安全中发挥着关键作用。用户采取的行动经常会规避您制定的最佳安全计划。因此，用户教育应成为事前准备的一部分。

用户应该知道他们在系统上应该和不应该采取哪些类型的行动，从计算机安全和事件响应的角度考虑。用户应该意识到攻击者常用的方式，以及他们如何利用这些方式来破坏网络。用户应该了解对疑似事件的适当响应。通常情况下，您希望用户立即通知指定联系人。总的来说，用户应该被指示不要进行任何调查行动，因为这些行动通常会破坏证据并阻碍后续响应。

您应该解决的一个具体问题是用户安装的服务器软件的固有危险性。用户可能未经授权安装自己的Web或FTP服务器，从而危及组织的整体安全。在本章后面的部分中，我们提到了删除管理特权，这是一种配置更改，有助于减轻这种风险。但是，用户有时会找到绕过安全措施的方法，应让他们意识到安装未经授权软件的危险性。

如前一章所介绍的，核心IR团队由几个学科组成：IT，调查人员，取证检查员甚至外部顾问。每个人都可能带着不同的技能和期望加入团队。您将希望确保您的团队由勤奋的人员组成，他们注重细节，保持控制，不要匆忙重要事情，并记录他们正在做的事情。团队发展的基础将在本节中建立。我们将讨论定义任务、沟通、可交付成果以及适当装备团队所需的资源。

定义IR团队的任务将有助于保持团队的专注性，并为您的组织设置期望。团队任务的所有元素都必须得到高层管理人员的完全认可和支持；否则，IR团队将无法在组织内产生影响。团队的任务可能包括以下所有或部分内容：
• 使用有组织的正式调查流程响应所有安全事件或疑似事件。
• 进行完整的公正调查。
• 快速确认或消除入侵或安全事件是否实际发生。
• 评估事件的损害和范围。
• 控制和封锁事件。
• 收集和记录与事件相关的所有证据。
• 在需要时选择其他支持。
• 保护法律和/或企业政策确立的隐私权。
• 为适当的执法和法律机构提供联络人。
• 维护事件的适当机密性，以保护组织免受不必要的曝光。
• 提供专家证言。
• 为管理层提供完全支持事实的建议。

在事件发生期间，你将同时拥有几个团队：你的核心调查团队、辅助团队、法律团队和系统管理员，他们不仅会回应核心团队的任务，而且常常会自行进行相关操作。良好的沟通至关重要，在事件开始之前定义好这一点是必不可少的。本节讨论战术和即席通信。

注意：
与组织的律师讨论通信和文档的问题。他们可能希望您在某些通信中包括他们的办公室，以确保信息不会被发现。这个决定在很大程度上取决于您正在执行的IR工作的性质，以及组织是否受到合规性控制。在本节中，我们将假设您已经就这个问题寻求了适当的指导，并标记了通信。

在最近的大量调查中，攻击者直接进入了电子邮件服务器。在一些服务器上，我们发现攻击者检索了C级员工和高级IT管理员的电子邮件信箱。不久之后，攻击者返回并搜索整个邮件服务器，寻找与调查相关的字符串。不幸的是，攻击者看着你看着他们的威胁并非理论上的。为准备IR时，请记住以下通信安全（ComSec）问题：

• 加密电子邮件。在事件发生之前，为核心和辅助IR团队成员获取S/MIME证书。向组织的IT部门咨询，因为他们可能会免费为员工颁发证书。也可以使用其他替代方案，如PGP，但与常见邮件客户端的集成传统上很差。

• 适当标记所有文档和通信。诸如“特权和机密”、“律师工作成果”和“按照顾问的指示准备”之类的短语可能是明智的，甚至是必需的。您应该寻求法律顾问，以确定适当的标签（如果有）。

• 监视会议参与情况。确保您的电话会议系统允许您监视谁已经打电话或者谁正在观看屏幕广播。关注参与者列表，并断开未经验证的参与者。

• 使用案例编号或项目名称引用调查。使用项目名称有助于避免细节泄露在走廊对话、会议邀请和对外方面的发票中。这与攻击者的可能拦截不太相关，而是为了最小化了解IR细节的人员数量。在外部上，将其视为任何其他项目。知道潜在安全漏洞的人越少，就越好。

注意:
请记住自动化流程发送到您的电子邮件服务器的信息类型。如果您的事件管理系统、IDS或仅仅是您桌面电话的语音邮件系统向您发送可能敏感的信息，请考虑将这些消息的内容限制为简单的通知。虽然有点不方便，但它可能会防止调查数据被泄漏。

网上资源：

免费S/MIME证书的来源www.instantssl.com/ssl-certificate-products/free-email-certificate.html www.startssl.com
商业S/MIME证书的来源 www.symantec.com/verisign/digital-id www.globalsign.com/authentication-secure-email

与外部方的沟通
如果一个组织很幸运，入侵的影响不需要通知或与外部实体协商。随着治理和立法的不断增加，更不用说合同中的事件披露语言，您的组织很可能需要确定如何与第三方沟通。为潜在披露做计划应涉及法律顾问、合规官员以及高管人员。

我们无法提供关于此话题的大量指导，除了要好好管理它。使用批准的渠道，如公共关系（PR）或法律办公室。一旦披露发生，您可能会失去对调查的控制。其他实体可能使用合同要求行动或调查步骤，这些步骤旨在保护他们的利益而不是您组织的利益。在确定任何通知的内容和时间时要考虑的一些问题是：

• 什么样的事件满足报告门槛？在检测时立即？也许在事件被确认后？
• 如何向第三方传递通知？有什么合同语言来保护机密性吗？
• 如果事件需要公开披露，谁负责沟通的内容和时间？该如何进行披露？
• 披露后会对您的组织施加什么样的惩罚或罚款？考虑通知的时间是否影响此因素
• 披露后预期的调查限制有哪些？第三方是否需要参与调查？
• 披露如何影响纠正措施？

因为我们为咨询公司工作，可交付成果是我们向客户提供的重要组成部分。我们认为，任何团队都应该以服务交付的方式来看待他们所做的事情，并定义他们将产生的标准项。IR团队最重要的可交付成果是调查报告。报告的范围可能从简单的一页状态更新到每个30页的详细取证检查报告。您的IR团队应明确定义其主要可交付成果，包括适当的目标完成时间框架或重复间隔。此外，您还应为每个可交付成果创建模板和说明，以确保一致性。以下是IR团队可交付成果的样本清单：

| Name | Purpose | Delivery Target || --- | --- | --- || Case Status Report | Update stakeholders on progress of an individualcase. | Recurring: Daily or as required || Live Response Report | Document findings from initial live response triage of a single system. | Draft: Within one business dayFinal: Within two business days || Forensic Examination Report | analysis performed on an item of evidence. | Draft: Within four business daysFinal: Within six business days || Malware Analysis Report | Document the findings from analysis of suspected malicious software. | Draft: Within three business daysFinal: Within five business days || Intrusion Investigation Report | Consolidate all reports and findings related to a single incident and create a high- level executive summary. | Draft: Within five business days of completion of the investigation Final: Within eight business days of completion of the investigation |

与任何团队一样，您的IR团队需要资源才能成功。除了提供培训和创建文档等标准组织元素外，IR团队还具有独特的硬件和软件要求。即使您已经为团队建立了资源，您可能会发现阅读本节对每个区域的我们的看法很有用。

培训IR团队

好的培训的重要性不言而喻。许多课程提供实践操作的事件响应培训。这些课程通常物有所值。在选择大学提供的计划通常提供最好的教育。目前提供最佳计划的大学是：
• 卡内基梅隆软件工程研究所 (www.sei.cmu.edu)
• 普渡大学技术学院 (tech.purdue.edu)
• 约翰霍普金斯大学信息安全研究所 (isi.jhu.edu)

SysAdmin、Audit、Networking 和 Security (SANS) 研究所目前是IR和计算机取证培训市场的领导者。他们有大量高质量的课程。

网上资源：

SANS研究所 www.sans.org

为IR团队配备硬件

现代硬件解决方案使IR团队使用普通计算机系统执行取证和IR任务更加容易。主要计算机供应商提供的高端系统和一些专业的取证硬件很可能满足您的IR团队的需求。在我们工作的公司中，有两个高级位置我们进行调查工作：在野外和在办公室。我们将介绍在这些设置中对我们有用的解决方案。

数据保护

在事件期间，您将处理和分析敏感数据。无论是在野外、在办公室还是在运输过程中，都必须采取适当的步骤确保数据对未经授权的人员不可访问。这样做的最有效方法是使用加密数据的解决方案。敏感数据可能存储在两个高级类别中：
• 永久，内部媒体。这包括硬盘或是计算机系统的一个永久部分。最常见的解决方案是使用软件全磁盘加密 (FDE) 产品，如Truecrypt或McAfee Endpoint Encryption。另一个选项，虽然通常有点昂贵，是使用硬件FDE，有时称为自加密驱动器 (SED) 。

• 外部媒体 通常是便携式的，包括拇指驱动器、USB驱动器和安装在外部盒子中的常规硬盘驱动器。对于这个类别有各种各样的解决方案，包括软件和硬件。常见的软件解决方案是Truecrypt。硬件解决方案包括USB和SATA的内联。

网上资源：

www.truecrypt.org www.apricorn.com/products/hardware-encrypted-drives.html www.mcafee.com/us/products/endpoint-encryption.aspx

注意:
在决定是否加密存储媒体时，请确保正确评估风险。在不安全的环境中使用的笔记本电脑或运输便携式媒体是高风险的示例。在安全的、受限制的实验室环境中使用的桌面系统是低风险的。此外，要记住，即使您在计算机上不复制敏感数据，敏感数据也可能在硬盘驱动器上找到它的位置。例如，如果您在网络共享或外部USB驱动器上访问数据，操作系统或应用程序可能会在本地硬盘驱动器上创建临时文件。如果您发现自己在寻找不使用加密的理由，那么您可能需要它。请记住，大多数CPU现在都具有提供性能提升的特殊加密指令，因此添加加密不再是性能问题。

野外取证

许多事件要求我们在客户现场执行取证工作。我们在这种情况下使用的主要平台是来自主要供应商的配备良好的笔记本电脑。我们选择一个与即将讨论的共享设备的专业取证硬件正确接口的笔记本电脑。在构建系统时，我们还考虑了一些额外的因素：

• 内存 通常指定为接近或达到平台支持的最大容量。
• CPU 通常在平台的高端范围内。
• I/O总线 包括eSATA、Firewire 800、USB 3.0和其他外部硬盘驱动器的高速接口。
• 屏幕大小和分辨率 物理上大和分辨率高。在14英寸的显示器上很难完成工作。
• 可携带性 当一个人在路上时，重量和尺寸非常重要。
• 保修服务 如果设备出现故障，供应商应该能够立即发送替换品或技术人员。
• 内部存储 大而快是要记住的形容词。此外，如果您能找到一个由BIOS支持的自加密驱动器，那么额外的成本是值得的。

办公室数据取证

在某些事件中，我们在办公室执行取证工作。我们的客户或公司的其他员工可能会将硬盘驱动器、磁盘映像或其他相关数据运送到我们的办公室进行分析。在两个海岸，我们都有专门的实验室，配备了写入阻止器的系统，准备创建证据的工作副本。然后，根据书面证据处理政策，原始材料存储在受控区域中。我们的分析师使用虚拟环境在工作副本上执行分析。我们维护标准的检查环境模板，预配置了常见的取证工具，并为每个检查员、每个案件产生一个新的、干净的虚拟机。分析完成后，虚拟机被销毁。这种操作模式允许每个分析从一个已知状态开始，并有助于防止杂乱和资源争用。

共用取证设备

在先前提到的两个运营地点，IR团队或分析师组使用一组共享资源，除了他们分配的工作站。首先，我们需要专门的取证相关硬件。团队应该有几个完整的写入阻止套件。有版本可用，允许检查和复制许多接口，包括PATA、SATA、SCSI和SAS。我们采取的方法是在办公室保持这些硬件的池，并根据需要提供项目。在第8章中，我们将更详细地讨论这些类别的专门取证硬件：
• 独立的磁盘复制和成像系统
• 适用于您预计遇到的所有媒体接口类型的写入阻止器
• 移动设备采集系统
• 各种电缆和适配器

除了专门的取证硬件外，我们还保有以下物品的健康存货：
• 大型外部硬盘驱动器，用于存储证据和管理数据的工作副本
• 用于记录证据的数码相机
• 空白CD和DVD
• 网络交换机和电缆
• 电源插排和电缆
• I/O总线电缆——Firewire、eSATA、USB
• 计算机维护工具，如螺丝刀、Torx比特、spudgers和其他专门的开箱工具。

网络监控平台

我们使用两个主要平台进行网络监控。对于临时监控，我们使用的笔记本电脑系统的规格与用于现场取证工作的笔记本电脑系统的规格非常相似。其主要优点是平台是便携式的，并带有内置UPS。然而，对于大多数安装，我们使用1U机架安装系统，具有高端CPU，相当数量的内存（发布时为12-16GB）和足以在我们监视的连接的80％线速率下保持传入数据一段合理时间的存储容量。这些监视平台通常配备多端口网络接口卡，允许保留一个用于管理接口，其余端口用于监视。在某些调查中，我们还包括用于监视光纤和多千兆铜链路的接口。

监控高利用率的网络连接对大多数监视平台来说可能是一项挑战，除非开发自定义驱动程序和存储方案。然而，对于大多数环境来说，组织可以通过最少的FreeBSD或Linux安装进行管理。过去，一个人不得不与内核补丁和系统调优，IDS系统配置，控制台安装（加上体验可管理的分析体验所需的多种库）以及签名管理等问题搏斗。三个我们下面链接到的项目中的几个项目使得可靠监视平台的部署更加容易。网络监视将在第9章中详细讨论。

网上资源：

Security Onion securityonion.blogspot.comNetwork Security Toolkit networksecuritytoolkit.orgEasy-IDS skynet-solutions.net

IR团队的软件

在本节中，我们将涵盖IR团队需要执行其工作的基本软件的一般类别和功能。关于使用特定工具的详细信息在第11章到第16章的数据分析中进行了讨论。

我们使用什么软件？

我们与之合作的大多数组织都会问我们使用什么类型的IR和取证软件以及为什么。他们通常会问我们是否使用任何免费或开源工具，以及是否使用任何商业工具。答案是我们同时使用免费和商业软件，有些是开源的，有些是闭源的。我们不会支持特定的工具，我们更愿意解释我们选择何种工具的原因。

在考虑我们使用哪些解决方案时，通常只有时间才是最重要的因素——如果一切都相等，我们选择可以在最短时间内完成工作的工具。我们考虑与该工具相关的准备、执行和报告。时间之所以对我们最为重要，有两个主要原因——它使我们能够更快地找出问题并解决犯罪（最小化潜在的损失），而我们的客户按小时支付我们的费用。对于您的组织来说，时间可能也是一个重要因素，但还可能有其他考虑因素，比如您的预算。

我们还喜欢有选择——因为有时候一个工具可能在某种情况下无法工作。因此，我们通常至少有两个或更多可以执行相同（或非常相似）功能的工具。我们维护一个顾问可使用的当前可接受工具列表。然而，在将工具放入列表之前，我们会进行一些测试。即使其他组织可能已经测试了该工具，您在自己的环境中测试它也是个好主意。

“法医学上可靠”的软件和证据的可接受性
您可能会听到有人说，工具必须是“法医学上可靠的”，并且其在这方面的状态会影响到该工具在法庭上的任何发现是否可接受。但是，“法医学上可靠的”没有严格的定义，通常是法官在法庭上决定证据的可接受性。我们鼓励您的IR团队考虑这里概述的法律案例中提到的因素。

在1923年，联邦法院制定了一组名为Frye测试的标准。最近，在1993年，美国最高法院发表了一项意见，重新制定了联邦案件中科学证据的可接受性所需的标准。（请注意，各州有自由采用Frye、Dow或他们自己的案例法规定的标准。）这个案例，Daubert v. Merrell Dow Pharmaceuticals，509 U.S. 579 (1993)，将焦点从一项普遍接受测试转移到了一项“可靠性和相关性”测试。法官对专家证言的接纳结果导致创建了一系列说明性因素，这些因素在可靠性调查期间被记在心中。确定科学技术的可靠性应用的四个因素如下：
• 科学理论或技术是否经过经验测试？
• 科学理论或技术是否经过同行评审和出版？
• 是否存在已知或潜在的错误率？是否存在控制技术操作的标准？
• 该技术在当前案件中是否存在一定程度的一致性度量？
• 该技术是否在相关文献中有所体现？
• 该专家是否拥有足够的领域资格认证？
• 该使用的技术与其他类似方法有何不同？

我们在调查期间使用的软件通常分为八个类别。您的IR团队应该对每个领域的存货进行清点，并根据我们在此处讨论的一些标准研究是否需要任何其他工具：

• 引导磁盘
此类别包括您可以引导并执行有用的IR或取证任务的“实时”媒体（CD或USB）。例如，Backtrack、CAINE和Helix项目都提供了可引导的环境，非常适合IR或取证任务。

网上资源：

BackTrack www.backtrack-linux.orgCAINE www.caine-live.netHelix www.e-fense.com

• 操作系统
IR团队应该熟悉组织内使用的每个操作系统。我们建议获取每个操作系统的安装介质，并创建具有可还原快照的虚拟机。这对于学习非常有帮助，但您可能需要执行测试或其他实验以开发或确认准确的程序。

• 磁盘成像工具
维护一个由团队授权的成像工具清单。要了解应该和不应该在此清单中的内容，请查看NIST计算机取证工具测试网站www.cftt.nist.gov.在第8章中将详细讨论磁盘成像。确保IT人员和其他一线人员了解您的工具和程序。

• 内存捕获和分析
与磁盘成像类似，您应该有多个可靠且经过测试的内存捕获工具。请记住您的环境中不同的操作系统，并为每个环境测试解决方案。内存分析将在第12章到第14章中详细讨论。

• 实时响应捕获和分析
您应该为组织中使用的每个操作系统创建和测试实时响应工具包。执行实时响应的过程和我们喜欢的工具将在第7章中详细讨论。

• 指标创建和搜索工具
在调查过程中，您将需要工具来帮助您创建和搜索威胁指标（IOCs）。第2章和第5章涵盖了此主题。

• 取证检查套件
取证检查套件在单个软件包中提供全面的功能集。这些套件通常专注于分析磁盘映像，提供解释数据格式的能力，并允许调查人员搜索相关信息。我们不在本书中涵盖使用任何具体的检查套件。相反，我们讨论了您需要有效执行检查的基础知识和方法。

• 日志分析工具
在大多数调查中，团队面临着检查大量日志文件的情况。一种常见的日志格式是分隔符明文文件。在这些情况下，我们使用可以操作明文的任何工具进行分析。但是，有时格式是专有的，我们需要一个工具来读取或转换数据。通常，日志数据的数量是巨大的——我们参与了许多多TB档案的案件。如果您预计在您的组织中遇到相同的情况，则明智地识别可以处理这种“大数据”的日志工具。

（未完待续）