Incident Response (and Forensics) Flashcards
1
Q
IR
A
Incident Response: “Handler om hvordan du framstår når du kommer i avisa”
2
Q
SIEM
A
Security information and event management
3
Q
IRT
A
Incident Response Team: Noen som er i stand til å ta telefonen hvis det skjer noe
4
Q
SOC
A
Security Operation Center: Fysisk senter. Analyserer det som skjer før hendelses-teamet kommer.
5
Q
Security Incident
A
- Ledelsesstøtte
- Mandat
- Fullmakter
- Planer
- Organisasjon
- Verktøy
6
Q
Phases in incident response
A
- Triage
- Analysis
- Containment
- Eradictation
- Normalization
- Closing
7
Q
analysis in incident response
A
- Innsamlig
- Loggfiler
- Malware
- System
- Nettverk
- Tidslinje
8
Q
containment in incident response
A
- Isolere hendelsen og hindre videre spredning
- Isolere berørte systemer
- Ta ned berørte tjenester
9
Q
eradictation in incident response
A
- Fjerne årsaken til hendelsen
- Identifisere og fjerne sårbarhet
- Oppgradere/patche systemet
- Forensics
10
Q
normalization in incident response
A
- Reetablere tjenester
- Restore fra backup
- Fortsette logging og monitorering
- Samle og overlevere bevis
- Herding og eventuelle andre
permanente forbedringer
11
Q
Triage in incident response
A
- Hva har skjedd
- Samle fakta
- Vurdere alvorlighet
- Interessenter
- Identifisere false positives
- OBS: Loggføring
- Statusrapportering
12
Q
Closing in incident response
A
- Besluttes normalt av kunden
- Avsluttende informasjon
- Sluttrapport
- Myndighetsrapportering
- Debrief/Læring
- Oppdatere prosesser
- Systematisere dokumentasjon
