O que é útil ou não ao coletar evidências em incidentes de segurança

Cortes
Konnio Tecnologia

Read more of my posts.

by Konnio Tecnologia

É crucial saber o que é relevante ao coletar evidências para incidentes de segurança. Devido aos limites de armazenamento, não é possível registrar todo o ambiente da empresa. Portanto, é essencial selecionar o que é importante para consultas futuras.

Na hora de se fazer a coleta de informações para registro de incidentes de segurança, é fundamental ter em mente que nem tudo poderá ser registrado devido aos limites de armazenamento. Por isso, é imprescindível saber distinguir o que é realmente importante de se guardar para consultas futuras.

Ao enfrentar um incidente de segurança, é essencial coletar evidências significativas que possam esclarecer o ocorrido, identificar possíveis culpados e tomar medidas corretivas adequadas. Portanto, é necessário adotar uma abordagem seletiva e precisa na coleta de informações.

Existem algumas categorias de dados que geralmente são consideradas essenciais na coleta de evidências. Entre elas, destacam-se:

1. Logs de eventos: os registros de eventos são preciosos para reconstruir a sequência de ações e identificar as causas do incidente.

2. Logs de acesso: informações que indicam quem teve acesso a determinados sistemas ou recursos podem ser cruciais para determinar a origem do incidente.

3. Arquivos de configuração: ter cópias das configurações de sistemas afetados pode auxiliar na análise e na identificação de falhas de segurança.

Por outro lado, há dados que podem não ser tão relevantes para a investigação de um incidente. Por exemplo, backups antigos ou registros de atividades regulares que não tenham relação direta com o ocorrido. Identificar uma lista de informações prioritárias e descartar aquelas que não são úteis economiza tempo e recursos na análise de um incidente.

Em conclusão, ao coletar evidências em um incidente de segurança, é essencial ter em mente os limites de armazenamento e definir criteriosamente os dados a serem registrados. Dessa forma, você estará preparado para consultas futuras e poderá agir de maneira mais eficiente na investigação e resolução do incidente.