La pregunta no especifica un orden en el que se descubrió la evidencia, lo que hace que el escenario sea confuso. Pondré esto en un orden elegido por mí para que tenga más sentido:
Evidencia circunstancial:
"Se genera una alerta de IDS debido a la firma de un malware conocido": esto es evidencia, pero a veces IDS genera alertas de falsos positivos, por ejemplo. debido a que un usuario o programa realiza actividades legítimas que se parecen a lo que el malware hace con el IDS, o un error en el IDS que detecta más tipos de comportamiento de los previstos.
Evidencia corroborativa:
"Se encontró una alerta en OSSEC IDS de un host" (¡¿Parece lo mismo que el anterior ?!)
"Una URL fue bloqueada por NGFW que se solicitó al host posiblemente infectado". - el hecho de que tanto el IDS como el firewall hayan detectado una actividad similar a un malware y que el host coincida, significa que se ha corroborado la evidencia circunstancial. Sin embargo, de nuevo, esto podría teóricamente ser un falso positivo, como p. Ej. un profesional de seguridad podría estar accediendo a un sitio web comprometido con wget
o curl
para verificar qué hay en él. ¡Todavía no es evidencia directa!
Evidencia directa y mejor evidencia:
"La extracción de malware se encontró en el servidor proxy": esto significa que se encontró el malware real. Esta es una prueba directa y una prueba irrefutable de una infección de malware (intentada o real). Ya que de la otra evidencia podemos ver que se estaba ejecutando, debe haber sido una infección de malware real.