Exportar (0) Imprimir
Expandir Tudo
Expandir Minimizar

Guia básico de investigação computacional para Windows

Capítulo 4: Relatar a investigação

Publicado em: 11 de janeiro de 2007

Este capítulo aborda como organizar as informações reunidas e a documentação criada durante a investigação computacional, e também como escrever o relatório final. Use o processo em duas etapas mostrado na figura a seguir:

Fase de relatório da investigação computacional

Figura 4.1. Fase de relatório do modelo de investigação computacional
Nesta página

Reunir e organizar informações
Escrever o relatório

Reunir e organizar informações

Durante as fases iniciais da investigação computacional, você cria a documentação com as atividades específicas de cada fase. A partir dessa documentação é necessário identificar as informações que são relevantes para a investigação e organizá-las em categorias apropriadas. Use o procedimento a seguir para reunir e organizar a documentação necessária para o relatório final.

  1. Reúna toda a documentação e anotações das fases de avaliação, obtenção e análise. Inclua todas as informações gerais adequadas.

  2. Identifique as partes da documentação que são relevantes à investigação.

  3. Identifique fatos que sustentem as conclusões que serão feitas no relatório.

  4. Crie uma lista de todas as evidências a serem mencionadas no relatório.

  5. Liste todas as conclusões que serão feitas no relatório.

  6. Organize e classifique as informações reunidas para garantir um relatório claro e conciso. Consulte a seção a seguir, "Escrever o relatório”, e o Sample - Internal Investigation Report.doc(no Apêndice: Recursos deste guia) para ajudá-lo a organizar as informações.

Escrever o relatório

Depois que as informações estiverem organizadas nas categorias adequadas, é possível usá-las para escrever o relatório final. Para obter o melhor resultado na investigação é imprescindível que o relatório seja claro, conciso e voltado para o público-alvo apropriado.

A lista a seguir identifica as seções recomendadas e as informações que devem ser incluídas nessas seções.

  • Objetivo do relatório. Explique com clareza o objetivo do relatório, o público-alvo e as razões pelas quais o relatório foi elaborado.

  • Autor do relatório. Liste todos os autores e co-autores do relatório, incluindo seus cargos, responsabilidades durante a investigação e detalhes de contato.

  • Resumo das ocorrências. Apresente a ocorrência e explique o seu impacto. O resumo deve ser escrito de forma que uma pessoa sem conhecimentos técnicos, como um juiz ou júri, possa entender o que ocorreu e como ocorreu.

  • Evidência. Forneça descrições da evidência obtida durante a investigação. Ao descrever a evidência, declare como, quando e por quem ela foi obtida.

  • Detalhes. Forneça uma descrição detalhada das evidências analisadas e o método de análise utilizado. Exponha as conclusões da análise. Liste os procedimentos seguidos durante a investigação e todas as técnicas de análise usadas. Inclua provas que sustentem as conclusões, como relatórios de utilitários e entradas de log. Justifique cada uma das conclusões. Rotule os documentos probatórios, numere todas as páginas e refira-se a eles pelos nomes dos rótulos quando mencioná-los na análise. Por exemplo, “Log do Firewall do servidor, prova D”. Além disso, apresente informações sobre todos os que conduziram ou estavam envolvidos na investigação. Se necessário, forneça uma lista de testemunhas.

  • Conclusão. Resuma os resultados da investigação. A conclusão deve ser especificamente relacionada ao resultado da investigação. Mencione algumas evidências que confirmem a conclusão, mas não forneça muitos detalhes sobre como as evidências foram obtidas (tal informação deve ser incluída na seção “Detalhes”). Justifique sua conclusão, e apresente documentação e evidências probatórias. A conclusão deve ser a mais clara e inequívoca possível. Em muitos casos, será declarada no início do relatório por representar a informação acionável.

  • Documentos probatórios. Inclua todas as informações gerais mencionadas durante o relatório, como os diagramas da rede, documentos que descrevam os procedimentos de investigação computacional usados e as visões gerais das tecnologias envolvidas na investigação. É importante que os documentos probatórios apresentem informações suficientes para que o leitor do relatório entenda o máximo possível sobre a ocorrência. Como mencionado anteriormente, use letras para rotular todos os documentos probatórios e numere todas as páginas do documento. Apresente uma lista completa dos documentos probatórios.

    • Se for possível que o relatório seja apresentado para um público diversificado, considere criar um glossário dos termos utilizados. Um glossário será de grande valor se as autoridades competentes não conhecerem as questões técnicas ou quando um juiz ou júri precisarem examinar os documentos.

Cc162835.note(pt-br,TechNet.10).gif Observação:

É provável que, durante uma investigação, informações valiosas sobre o uso dos processos de investigação computacional sejam coletadas. Também é possível adquirir experiência e um melhor entendimento dos procedimentos operacionais e de segurança. Examine a documentação de resposta da ocorrência e a documentação operacional existente e incorpore essas informações nas suas investigações. Caso você não tenha essa documentação ou deseje adotar um formato padrão, é possível utilizar as diretrizes e modelos do Microsoft® Operations Framework (MOF). Para obter mais informações sobre o MOF, visite a home page do Microsoft Operations Framework.



Download

Obtenha o guia básico de investigação computacional para Windows

Notificações de atualização

Inscreva-se para receber informações sobre atualizações e novas versões

Comentários

Envie-nos seus comentários ou suas sugestões



Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários
Mostrar:
© 2014 Microsoft