【加冰】評論
關於事件應變,正確的敘述是:(C) 主機與網路證據為常見搜集標的事件應變是指在發生安全事件或網路攻擊後,組織採取的應對措施。在事件應變的過程中,主機和網路證據通常是搜集和分析的重要標的。主機證據包括受感染的主機日誌、系統檔案、進程資訊等,可以用來追蹤攻擊者的活動和證明系統受到入侵。網路證據則包括網路流量捕獲資料、防火牆日誌、入侵檢測系統(IDS)報警等,可以用來分析攻擊流量和攻擊方法。其他選項的敘述有以下錯誤:(A) 為求時效,一旦找到受感染主機應立即進行證據採樣:在搜集證據之前,應先確保受感染主機的安全性,避免進一步損害。證據採樣應在適當的時機進行。(B) 資料收集時,應著重在相關人員的口述資料:雖然相關人員的口述資料可能有價值,但在事件應變中,主要著重於技術證據的搜集和分析。 (D) 鑑識分析之最終目的為反擊攻擊來源:鑑識分析的目的是識別和了解事件的來源、方法和影響,並提供證據支持。反擊攻擊來源屬於進一步的應對措施,並非鑑識分析的最終目的。