インシデント対応_③封じ込め根絶復旧編
1.封じ込めインシデント発生後の検知、分析(事象、原因、対策、時系列整理)後は、封じ込めが必要です。事件を迅速に封じ込めるには、まず手順や訓練を事前に準備、実施できているか、意思決定までのステップや役割が事前に決まっているかが非常に重要です。許容範囲やレベル、ルール、基準が決まっていると各担当は、迅速に封じ込めできます。
2.証拠保全攻撃者は攻撃後にログを消去し証拠を残さない方法を使うケースがあります。ログが残っていない場合、ほとんどのケースで原因がわからなくなります。そう