數位鑑識 - HackMD

# 數位鑑識銃三小? ## 在做甚麼? - 事件應變處理 - 識別資安事件並處置 - 止損/消除威脅 ## IR來源 * 員工行為 * 下載了甚麼 * 存取 * 網路 * 不正常流量 * 規律流量 * 主機 * 惡意程式 * CPU/GPU * Disk * 套件存取 ## 網路資訊 * Log分析 * 封包內容 * Firewall ## 主機資訊 * 防毒日誌 * window log * web access/Error log * 硬碟資訊 * 服務 * Autorun * 記憶體 * process * 惡意程式Config ## 資料彙整-Log * Elastic全家桶 * ELK * Elastic * Splunk 高端商用，安裝簡單，一定資料量需要付費 ![](https://i.imgur.com/ucr2eET.png)