DFIR · Forensik innerhalb der Incident Response

Digital Forensics: den Angriff rekonstruieren, innerhalb der Incident Response.

Nach einem Vorfall braucht es faktische Antworten: wie sie hineinkamen, was sie berührten, was sie herausholten. Die Digital Forensics von Fortgale ist die analytische Phase der Incident Response: Beweise, Kettenrekonstruktion, IOCs. Keine gerichtlichen Sachverständigengutachten, sondern technische Analyse, die Eindämmung und Meldungen steuert.

Endpoint · LogsBeweiserfassung
AngriffsketteVektor + Lateral Movement
IOC · MITREAusgerichtete Indikatoren
Standards
MITRE ATT&CK
NIST IR
ISO/IEC 27001
Output
Beweise · Chain of Custody
Angriffs-Timeline
IOCs
Was wir tun · DFIR

Drei Fragen, eine Rekonstruktion.

Die Forensik von Fortgale lebt innerhalb der Incident Response: Die Analysten, die eindämmen, sind dieselben, die den Angriff rekonstruieren.

01 ·

Beweiserfassung

Disk- und Memory-Images, Sammlung von Logs und Artefakten auf Endpoints und Infrastruktur, mit Sicherung und Chain of Custody. Die Beweise, bevor sie verfallen.

02 ·

Kettenrekonstruktion

Initialer Vektor, Persistenz, Lateral Movement, Eskalation. Die Angriffs-Timeline, an MITRE ATT&CK ausgerichtet, von der ersten Kompromittierung bis zum Ziel.

03 ·

Was berührt oder exfiltriert

Unterscheiden, was aufgerufen, verschlüsselt oder herauskopiert wurde: die Grundlage für Meldungen und für den Versicherungsanspruch. Plus die IOCs, um den Wiedereintritt zu blockieren.

Ehrlich zum Umfang

Operative Forensik, keine Gerichtsforensik.

Fortgale liefert Forensik als Teil der Incident Response. Die Beweise und die Rekonstruktion unterstützen Meldungen, Versicherung und interne Entscheidungen. Beeidigte Gutachten und Sachverständigengutachten im juristischen Kontext sind ein anderer Beruf, den Fortgale nicht anbietet: Das sagen wir klar.

Innerhalb der Incident Response

Forensik speist Eindämmung und Eradikation. Siehe den Service Incident Response und das MDR, das ihn 24·7·365 betreibt.

Von Forschung gespeist

Die Analyse von Malware und Akteuren (z. B. CTI, 287 Tools und Akteure profiliert) beschleunigt die Rekonstruktion: Wir wissen bereits, wie sie sich bewegen.

Realer Fall · Kettenrekonstruktion

In Operation Storming Tide rekonstruierte das Fortgale-Team eine mehrstufige Kette (Mora_001: Matanbuchus 3.0 → Astarion RAT → SystemBC, RClone-Exfiltration), MITRE-ausgerichtet, mit veröffentlichten IOCs. Exfiltration und Ransomware verhindert.

Zur Analyse →
Realer Fall · Malware-Analyse

Bei Nebula Broker analysierte das Team die proprietäre BrokerLoader-Malware und attribuierte den Akteur: Mandiant (Google) bestätigte ihn später als UNC4990. Forensische Analyse des Codes, nicht nur der Alarme.

Zur Recherche →
FAQ · DFIR

Was unsere Forensik ist (und nicht ist).

Erstellen Sie beeidigte forensische Gutachten oder Gerichtsgutachten?

Nein. Wir liefern Digital Forensics als Phase der Incident Response (DFIR): Angriffsanalyse, Beweise, Rekonstruktion. Wir bieten keine beeidigten Gutachten oder Sachverständigengutachten im juristischen Kontext: Das ist ein forensischer Beruf, der auf den rechtlichen Rahmen spezialisiert und von unserem getrennt ist.

Was umfasst die Forensik von Fortgale?

Erfassung und Sicherung von Beweisen (Disk, Memory, Logs), Analyse von Artefakten, Rekonstruktion von Vektor und Lateral Movement, Identifizierung dessen, was exfiltriert wurde, an MITRE ATT&CK ausgerichtete IOCs.

Wann kommt die forensische Analyse ins Spiel?

Während und nach einem Vorfall, innerhalb der Incident Response. Sie beantwortet drei Fragen: wie sie hineinkamen, was sie berührten, was sie herausholten. Die Antworten steuern Eindämmung, Restore und Meldungen.

Dienen die Beweise der Behörde oder der Versicherung?

Ja: Sie unterstützen die Datenschutzverletzungs-Meldung, den Cyber-Versicherungsanspruch und die interne Dokumentation. Die rechtliche Bewertung und die formalen Akte verbleiben beim Verantwortlichen, beim DSB oder Rechtsbeistand.

Unterschied zwischen DFIR und Incident Response?

IR ist der vollständige Prozess (Detection, Eindämmung, Eradikation, Restore); Forensik ist die analytische Komponente, die die Fakten rekonstruiert. Bei Fortgale sind sie dieselbe Außenstelle: Wer eindämmt, ist, wer rekonstruiert.

Müssen Sie verstehen, was geschah?

Den Angriff zu rekonstruieren ist der erste Schritt, um ihn abzuschließen.

Sprechen Sie mit dem Fortgale-IR-Team: Wir erfassen die Beweise, rekonstruieren die Angriffskette und identifizieren, was exfiltriert wurde, innerhalb eines Incident-Response-Service mit einem europäischen SOC 24·7·365.

Antwortzeit: < 1 Werktag.