Sistematizovano lokalno prikupljanje podataka sa aktivnih sistema za potrebe forenzičke analize

Abstract

U slučajevima bezbednosnih incidenata na aktivnim sistemima, pravilno prikupljanje relevantnih podataka može značajno povećati verovatnoću dolaženja do informacija o tome ko je izvršilac napada, odakle je napad izvršen, na koji način je napad izvršen i sl. U okviru RFC 3227 dokumenata od strane IETF grupe date su okvirne ciljne grupe podataka koji se mogu iskoristiti za dobijanje informacija o napadu. Kod nekih izvora se načini prikupljanja potencijalnih dokaza kategoriše i na osnovu tačke sa koje se prikupljanje vrši (lokalna i udaljena metoda). U ovom radu se predstavljaju rezultati napora da se postavljeni formalni standardi i metode automatizovano primene na trenuto aktuelne realne i operativne sisteme i okruženja. Dodatno, u radu se pored pribavljanja potencijalnih dokaza sakupljaju i informacije o stanju sistema posle napada.