Una vez los sistemas han sido identificados y se tienen los indicadores de compromiso, el siguiente paso es recolectar datos adicionales para el análisis. El equipo para respuesta de incidentes debe crear un plan para recolectar y preservar evidencia, ya sea esta capacidad sea interna o de un tercero. Las metas principales cuando se preserva evidencia implican utilizar procesos los cuales minimicen los cambios hacia un sistema, minimicen el tiempo de interacción con un sistema, y permita crear la documentación adecuada. Se puede recolectar evidencia desde un sistema en funcionamiento o decidir apagar el sistema para posteriormente realizar las imágenes.

Debido a cualquier equipo para respuesta de incidentes tiene recursos limitados, no tiene sentido recolectar grandes volúmenes de datos los cuales nunca serán examinados (a menos exista una buena razón). Por lo tanto para cada nuevo sistema identificado, se debe tomar una decisión sobre cual tipo de evidencia recolectar. Siempre se deben considerar las circunstancias para sistema, incluyendo si existe algo diferente sobre el sistema, o si una revisión de los datos de una respuesta en vivo generan nuevos hallazgos. Si se cree existe algún aspecto único o existe otra razón convincente, preservar la evidencia necesaria para avanzar con la investigación. Las categorías para la preservación típica de evidencia son; respuesta en vivo, recolección de memoria, e imagen forense de un disco, como se detalla a continuación:

Respuesta en vivo: La respuesta en vivo es el proceso par recolección de evidencia más común a ser realizada en una respuesta de incidentes. Una respuesta en vivo es el proceso de utilizar herramientas automáticas para recolectar un conjunto estándar de datos sobre el sistema en funcionamiento. Los datos incluyen información volátil y no volátil, el cual rápidamente puede proporcionar respuestas sobre preguntas de la investigación. La información típica recolectada incluye elementos como listado de procesos, conexiones activas de red, registros sobre eventos, lista de objetivos en el sistema, y los contenidos del registro. Se puede también recolectar el contenido de archivos específicos, como archivos de eventos o sospechosos de contener malware. Debido a los procesos son automáticos y el tamaño de los datos no es muy grande, se debe realizar una respuesta en vivo sobre la mayoría de los sistemas. Un análisis de respuesta en vivo usualmente será capaz de confirmar aún más un compromiso, proporcionar detalles adicionales sobre aquello hecho por un atacante sobre el sistema, además de revelar pistas adicionales a investigar.

Recolección de memoria: La recolección de memoria es más útil en casos donde se sospecha el atacante está utilizando mecanismos para ocultar sus actividades, como un rootkit, y no se puede obtener la imagen de un disco. La memoria también es útil para casos donde la actividad maliciosa únicamente residente en memoria, o deja muy pocos artefactos sobre el disco. Aunque algunas veces se pueden encontrar elementos sorprendentes al analizar la memoria, siempre todo esto dependerá del escenario en investigación, pues algunas veces podría no proporcionar datos suficientes para responder a ciertas preguntas. Aunque es posible identificar malware en funcionamiento sobre un sistema, algunas veces no se podría explicar como llegó allí, o aquello lo cual estuvo haciendo el atacante en el sistema.

Imagen forense de disco: Las imágenes forenses de disco son duplicados completos de los dispositivos de almacenamiento en un sistema. Durante una respuesta de incidentes es común recolectar imágenes en modo en “vivo”, cuando el sistema no es apagado, y se crea una imagen sobre un dispositivo de almacenamiento externo. Debido a las imágenes de discos son grandes y puede tomar tiempo analizarlas, normalmente se recolectar únicamente en situaciones donde se cree una imagen de disco es necesario para proporcionar beneficios hacia la investigación. Las imágenes forenses de discos son útiles en los casos donde un atacante realiza muchas acciones durante un largo lapso de tiempo, cuando existen preguntas sin resolver con las cuales otra evidencia no es de ayuda, o cuando se espera recuperar información adicional, la cual se cree únicamente está disponible en una imagen de disco. En incidentes las cuales no involucran una intrusión sospechosa, la recolección de imágenes de disco completo es una norma.

Fuentes:

https://cybersecurity.att.com/resource-center/ebook/insider-guide-to-inc...
https://docs.microsoft.com/en-us/microsoft-365/security/office-365-secur...