데이터 수집
목차
사고 현장: 수집 전 위험에 처한 데이터
인시던트가 발생하면 가장 먼저 라이브 시스템을 “둘러보는” 경우가 많습니다.
계획되지 않은 클릭, 루트 로그인 또는 파일 복사로 인해 타임스탬프, 로그, 할당되지 않은 공간이 변경될 수 있으며, 이는 깨끗한 상태를 기록하기 전에 변경될 수 있습니다.
데이터 수집을 통해 이 문제를 해결할 수 있습니다.
첫 번째 조치부터 증거 무결성을 유지할 수 있도록 통제된 방식으로 데이터를 수집하는 데 중점을 둡니다.
포렌식 사운드 수집의 기초
포렌식 맥락에서 데이터 수집은 단순히 파일을 복사하는 것 이상의 의미를 갖습니다.
데이터를 수집하고, 변경으로부터 데이터를 보호하며, 법원 또는 내부 검토에 모든 단계를 어떻게 처리했는지 보여주는 문서화된 프로세스를 정의합니다.
주요 목표:
소스 디바이스의 변경 사항 최소화
범위가 허용하는 만큼 관련 데이터를 최대한 많이 캡처하세요.
수집된 데이터가 원본과 동일하게 유지된다는 것을 증명하세요.
다른 시험관이 확인할 수 있는 반복 가능한 단계를 제공하세요.
취득 범위 및 수준
수사관은 사건, 시간, 위험도에 따라 수집 수준을 선택합니다.
공통 레벨:
물리적(비트 레벨) 이미징: 부문별 전체 디스크 또는 파티션의 복사본
논리적 수집파일 시스템 수준에서 파일, 폴더 및 파티션 복사
타겟 수집로그, 이메일 저장소 또는 브라우저 데이터와 같은 특정 아티팩트의 집중 복사본
딥러닝을 위해 물리적 이미징을 사용합니다. 분석 및 복구.
시간 또는 액세스 제약으로 인해 전체 이미징이 제한되는 경우 논리적 또는 타겟팅된 방법을 선택합니다.
해시 및 유효성 검사
암호화 해시는 사본이 원본과 일치한다는 것을 증명합니다.
수집하는 동안 SHA-256과 같은 해시를 계산합니다:
원본 장치 또는 이미지
획득한 이미지 또는 내보낸 증거 세트
그런 다음 값을 비교합니다.
일치하면 수집된 데이터가 수집부터 분석 및 보고까지 변함없이 유지되었음을 보여줄 수 있습니다.
관리 체인 및 문서화
기술적 무결성만으로는 충분하지 않습니다.
누가 디바이스에 액세스했는지, 언제 데이터를 수집했는지, 어떤 도구를 사용했는지, 증거가 어디로 이동했는지 문서화해야 합니다.
기본 보관 로그에는 다음이 포함됩니다:
케이스 식별자 및 장치 설명
취득 및 전송 날짜 및 시간
처리자의 이름과 서명
주요 증거 파일의 해시값
나중에 검토할 수 있도록 이미지 및 내보내기와 함께 이러한 기록을 유지합니다.
다양한 디바이스에서의 수집 기술
디바이스마다 다른 수집 방법이 필요합니다.
노트북, 서버, 클라우드 서비스, 모바일 하드웨어는 모두 고유한 제약이 있습니다.
디스크 및 볼륨 이미징
데스크톱 및 서버용, 디스크 이미징 는 여전히 기본 방법입니다.
자주:
상황이 허락하는 경우 시스템 전원을 끕니다.
드라이브를 제거하고 포렌식 워크스테이션에 연결합니다.
하드웨어 쓰기 차단기를 사용하여 소스 디스크에 대한 쓰기를 방지하세요.
촬영 중 또는 촬영 후에 비트 레벨 이미지를 생성하고 해시를 계산합니다.
그런 다음 원본 디스크가 아닌 이미지에서 분석을 수행합니다.
이 접근 방식은 도구가 충돌하거나 분석가가 실수하는 경우에도 증거를 보호합니다.
실행 중인 시스템에서 라이브 캡처
프로덕션 서버나 휘발성 증거를 보관하는 장치와 같이 시스템 전원을 끌 수 없는 경우가 있습니다.
그런 다음 실시간 수집을 수행합니다.
일반적인 작업은 다음과 같습니다:
캡처 RAM 메모리 수집 도구로
실행 중인 프로세스 목록, 활성 연결 및 변동 로그 수집하기
OS가 계속 실행되는 동안 가능한 한 방해 없이 논리 볼륨 이미징하기
실시간 촬영은 필연적으로 시스템을 어느 정도 변경해야 합니다.
이러한 변경 사항을 문서화하고 실시간 수집이 증거 가치와 위험 사이에서 최적의 균형을 제공하는 이유를 설명합니다.
네트워크 및 클라우드 컬렉션
최신 조사는 로컬 디스크를 뛰어넘습니다.
데이터는 클라우드 스토리지, SaaS 플랫폼 또는 중앙 로그 수집기에 저장될 수 있습니다.
이러한 경우에는 사용자:
플랫폼 API를 사용하여 로그, 사서함 콘텐츠 또는 파일 기록 내보내기
법적으로 승인된 경우 탭 또는 스팬 포트에서 네트워크 트래픽 캡처
타임스탬프, 계정 식별자, IP 주소와 같은 공급자 메타데이터를 보존합니다.
내보낸 아카이브를 증거 개체로 취급하고 로컬 이미지처럼 해시 처리합니다.
반복 가능한 수집을 위한 소프트웨어 워크플로우
수동 작업은 오류의 위험을 높입니다.
잘 설계된 수집 도구는 매번 일관된 프로세스를 따르는 데 도움이 됩니다.
다음과 같은 도구를 사용하는 일반적인 워크플로 EOS 보안 데이터 수집 는 다음과 같이 보일 수 있습니다:
시작 EOS 보안 데이터 수집 강화된 워크스테이션에서.
명확한 장치 목록을 통해 연결된 디스크, 볼륨 또는 원격 소스를 식별할 수 있습니다.
대상을 선택하고 수집 유형(물리적 이미지, 논리적 세트 또는 타겟팅된 프로필)을 선택합니다.
해싱 옵션과 증거 대상 경로를 구성합니다.
도구가 로그, 해시, 타임스탬프를 기록하는 동안 수집을 실행합니다.
그러면 이 도구는 사례 문서에 첨부할 수 있는 보고서를 생성합니다.
나중에 반복하거나 설명하기 어려워지는 임시 명령을 피할 수 있습니다.
Windows 디스크 수집을 위한 권장 절차
다음 순서는 증거로 Windows 디스크를 확보할 때의 실제 절차를 간략하게 설명합니다.
준비
실시간 데이터가 필요하지 않을 때는 피사체 시스템의 전원을 끄세요.
디스크를 조심스럽게 제거하고 케이스 정보로 라벨을 붙입니다.
하드웨어 쓰기 차단기를 통해 포렌식 워크스테이션에 연결하세요.
이미지를 저장할 수 있는 충분한 여유 공간이 있는 전용 증거 드라이브를 준비하세요.
수집 및 검증
시작 EOS 보안 데이터 수집 분석 머신에서.
쓰기 차단기 뒤에 있는 소스 디스크를 선택합니다.
실제 이미지 모드를 선택하고 증거 드라이브를 대상으로 지정합니다.
수집하는 동안 SHA-256 해싱을 활성화합니다.
프로세스를 시작하고 읽기 오류 또는 이상 징후를 모니터링합니다.
완료 후 계산된 해시가 기록된 소스 해시와 일치하는지 확인합니다.
소스 디스크를 봉인하고 라벨을 붙인 다음 분석 중에는 획득한 이미지로만 작업하세요.
결론 수집한 정보를 방어 가능한 증거로 전환하기
데이터 수집은 “기기에 있는 데이터”와 “조사자가 방어할 수 있는 증거” 사이의 간극을 메워줍니다.”
강력한 프로세스는 무결성을 보존하고, 좋은 도구는 위험과 인적 오류를 줄입니다.
적절한 수집 수준을 선택하고, 쓰기 차단기와 해시를 사용하고, 모든 단계를 문서화하면 기술 및 법적 조사를 견딜 수 있는 컬렉션을 만들 수 있습니다.
다음과 같은 솔루션 EOS 보안 데이터 수집 그런 다음 여러 사례에서 이 과정을 자신 있게 반복할 수 있도록 도와주세요.
다음이 필요한 경우 손실된 데이터 복구, Magic Data Recovery 에 의해 출시 Amagicsoft 는 전문 데이터 복구 소프트웨어입니다. 적극 추천합니다.
자주 묻는 질문
데이터 수집의 의미는 무엇인가요?
데이터 수집의 예는 무엇인가요?
데이터 수집의 4가지 유형은 무엇인가요?
데이터 수집 작업이란 무엇인가요?
데이터 수집의 세 단계는 무엇인가요?
데이터 수집의 다른 이름은 무엇인가요?
데이터 수집은 어떻게 수행하나요?
데이터 수집은 기술인가요?
