worldwindjava源码-SANS_FOR572_GNFA_Exam_Notes:SANS_FOR572_GNFA_Exa...

世界风java源码为什么要进行网络取证？ 识别 TTP（战术、技术、程序） 奥卡姆剃刀并不总是适用：混淆调查员（adv. 攻击者故意的虚假证据或不成熟的嫌疑人的行为）：战略目标。 攻击者停留时间：攻击者首次获得对公司或系统的访问权与攻击者被内部系统发现或识别之间的时间。 随着岁月的流逝，这种情况正在减少（这很好）| 但仍然是外部识别的（>6 个月）（执法部门、研究人员、监管机构等） 行业平均 180 天。 Web 代理服务器：传统上出于性能原因 | 当恶意软件从受感染的系统中删除时，代理服务器的缓存在 IR 期间很有价值 | 基于 Squid、Symantec ProxySG (Blue Coat)、NGINX（反向代理）、Forcepoint (Websense)、Apache Traffic 服务器（由 Yahoo! 在 2009 年捐赠）、Zscaler（在云中）的硬件和软件 Squid Web 代理：免费和开源 o 配置：/etc/squid/squid.conf  网络存在  访问控制  日志和缓存参数和位置 o 日志：/var/log/squid/* o 缓存：/va