Estoy leyendo sobre la respuesta al incidente. No puedo entender exactamente los términos artefacto y evidencia. Cuando busqué en google, muchos recursos están usando estos términos en general. ¿Cómo puedo encontrar definiciones estándar para estos dos términos? ¿Y cuál es la diferencia entre ellos?
Artefacto : un dato que puede o no ser relevante para la investigación / respuesta. Los ejemplos incluyen claves de registro, archivos, sellos de tiempo y registros de eventos. Puede ver muchos definidos en el proyecto ForensicArtifacts en github.
Evidencia : un dato (artefacto) que es relevante para su investigación porque respalda o refuta una hipótesis.
Con nuestro software de respuesta a incidentes, hablamos de recopilar artefactos de hosts remotos y analizarlos para determinar si son evidencia.
Artefacto: Algo observado en una investigación o experimento científico que es no está presente de forma natural, pero se produce como resultado de la preparación o procedimiento de investigación.
Si extraes un disco duro, los datos son pruebas.
Si alguien tuvo que tomar posesión de un archivo para dividirlo en algún cifrado, esa persona se mostrará como actualizada por última vez por. Eso es un artefacto.
Lea otras preguntas en las etiquetas forensics incident-response investigation