Netzwerkforensik (Network Forensics)

Netzwerkforensik ist die systematische Erfassung, Aufzeichnung und Analyse von Netzwerkverkehr zum Zweck der Beweissicherung und Aufklärung von Sicherheitsvorfällen. Sie ergänzt die Endpunktforensik (Host Forensics) und ermöglicht die Rekonstruktion von Angriffsabläufen, selbst wenn ein Angreifer Spuren auf kompromittierten Systemen beseitigt hat. In IT-Vergabeverfahren für Netzwerksicherheits- und SOC-Dienste sollten Auftraggeber Anforderungen an Paketaufzeichnung (PCAP), Netzwerkflusskollektoren (NetFlow/IPFIX) und forensische Auswertungskapazitäten als Teil des Incident-Response-Servicekatalogs spezifizieren.