Hoe bewaar ik logs voordat ik een verdacht apparaat opnieuw opstart?
Een reboot wist veel forensisch waardevolle informatie. Voor je iets opnieuw opstart, vijftien minuten verzamelen.
Probeer dit eerst zelf
- 1Maak schermfoto's met je telefoon van wat je ziet: openstaande processen (Task Manager > Details), netwerkverbindingen, ongebruikelijke prompts.
- 2Open Event Viewer (Windows-toets + 'Event Viewer'). Onder 'Windows Logs' > Security en System: exporteer beide naar een .evtx-bestand op een externe USB. Niet op het apparaat zelf.
- 3Voor netwerkverbindingen: open een PowerShell als admin en run 'Get-NetTCPConnection' en 'netstat -ano' - kopieer de output.
- 4Heb je tijd voor meer? Microsoft heeft een gratis tool 'Process Explorer' (Sysinternals) die meer detail geeft. Niet installeren als het apparaat al verdacht is - draai vanaf USB.
- 5Pas dan, als je voldoende hebt: rebooten (of beter, isoleren - reboot is meestal niet de juiste eerste stap).
Wanneer ons inschakelen
Forensisch onderzoek is een vak. Voor een echte breach (fraude-bedrag, exfil van klantdata): wij werken samen met digitaal-forensische specialisten. Gewone IT-mensen kunnen daarmee bewijs vernietigen zonder het te weten.
Zie ook
- Ik denk dat ik op een phishing-link heb gekliktNiet schamen, gebeurt iedereen. De volgende vijftien minuten doen ertoe.
- Een collega-account doet rare dingenMails verzenden uit naam van de collega, regels die mappen verbergen, ongebruikelijke logins. Verdacht.
- MFA-app verloren - nieuwe telefoon, geen backup-codesKlassiek probleem na een telefoon-upgrade. Niet de eerste die zonder kan inloggen.
Past het bovenstaande niet?
Beschrijf je situatie hieronder. We sturen jouw input plus de stappen die je al zag naar onze AI en geven gericht vervolg-advies. Als het te risicovol is om zelf te doen, zeggen we dat ook.
Of doe het helemaal niet zelf
Onze Managed IT-klanten zoeken dit soort vragen niet op. Eén aanspreekpunt, vaste prijs per maand, en het is binnen werktijd opgelost.