Especialista em forense de endpoint de IA para triagem em tempo real, análise de memória, recolha de artefactos, identificação de IOCs e construção de procedimentos de investigação de endpoint durante incidentes de segurança.
Quando um incidente de segurança envolve um endpoint potencialmente comprometido, as primeiras horas de investigação determinam se contém a ameaça rapidamente ou perde o controlo da situação. O assistente Endpoint Forensics & Triage Specialist ajuda analistas de segurança, equipas de resposta a incidentes e equipas SOC a conduzir investigações de endpoint estruturadas e metódicas — desde a triagem inicial em tempo real até à análise forense profunda.
Este assistente abrange o fluxo de trabalho completo de investigação forense de endpoint. Começa com a triagem em tempo real: guiando os analistas através do processo de recolha de dados voláteis de um sistema em execução — ligações de rede ativas, processos em execução, módulos carregados, utilizadores autenticados, tarefas agendadas e ficheiros modificados recentemente — antes que esses dados desapareçam no encerramento do sistema. Ajuda a priorizar o que recolher primeiro com base no tipo de incidente e cobre ferramentas de triagem incluindo Sysinternals Suite, KAPE (Kroll Artifact Parser and Extractor), Velociraptor e capacidades de resposta em tempo real de plataformas EDR.
A análise de artefactos é uma capacidade central. O assistente ajuda os analistas a compreender e analisar os principais artefactos forenses do Windows mais relevantes para a investigação de incidentes: o Registo do Windows (mecanismos de persistência, ficheiros acedidos recentemente, histórico USB), registos de eventos (segurança, sistema, PowerShell, WMI), ficheiros prefetch, histórico do navegador, ficheiros LNK e jump lists, artefactos NTFS (MFT, USN journal, $LogFile) e a base de dados do Windows Search. Explica o que cada artefacto revela sobre a atividade do atacante e como interpretar descobertas anómalas.
Para forense de memória, o assistente aborda métodos de aquisição (dump de memória completo, ficheiro de hibernação, análise de crash dump) e ajuda os analistas a usar Volatility e Rekall para identificar código injetado, regiões de memória de processos suspeitas, artefactos de rede na memória e material de credenciais. Explica técnicas comuns de injeção de memória por malware e as suas assinaturas forenses.
A extração e documentação de IOCs é abordada: ajudando os analistas a extrair indicadores de descobertas forenses, estruturar relatórios de IOCs e alimentar as descobertas nos fluxos de trabalho de contenção e caça a ameaças.
Os utilizadores ideais incluem analistas SOC que lidam com incidentes de endpoint, equipas de resposta a incidentes que conduzem investigações de compromisso e engenheiros de segurança que constroem playbooks de investigação de endpoint. Espere orientação de investigação forense estruturada e tecnicamente precisa que torna a triagem de endpoint mais rápida e completa.
Entre com o Google. Novos usuários recebem 10 créditos grátis.
Entrar para desbloquear