Digital Forensics and Incident Response (DFIR)

DFIR é uma área dentro do Blue Team voltada para investigar e responder a incidentes.

Dividido em duas partes:

Digital Forensics (Forense Digital) - Coleta e análise de evidências digitais (logs, discos, memória RAM). - Usado para entender como o ataque aconteceu e preservar provas (até para uso legal).

Incident Response (Resposta a Incidentes) - Contém e erradica o ataque. - Recupera os sistemas para operação normal. - Melhora a segurança para evitar que aconteça de novo.

Ferramentas comuns: - Autopsy (análise de disco) - Volatility (análise de memória) - TheHive, MISP (gestão de incidentes)