Mrežna forenzika
Mrežna forenzika uključuje analizu mrežne opreme kao što su usmjeritelji, preklopnici (eng. switch), koncentratori (eng. hub), NIC (eng. Network Interface Card), samo računalo te razni mediji poput parica, optičkih kablova i sl. Konkretni podaci se mogu naći na sljedećim uređajima:
Računalo domaćin (eng. host)
Riječ je o “standardnom” prikupljanju podataka. Obuhvaća slike (eng. image) uređaja za pohranjivanje, sadržaj radne memorije i bilo kakve statičke podatke unutar dohvata računala koji se mogu slati preko mreže. Tu se ne broje samo pojedina računala već i svi poslužitelji na mreži (e-mail, datotečni, s bazama podataka, poslužitelji pisača)
Usmjeritelj (eng. router)
Usmjeriteljski zapisi mogu sadržavati greške do kojih je došlo tijekom usmjeravanja, detalje o komponentama usmjeritelja (npr. sučelja) te sumnjive aktivnosti (ovisno o postavkama zapisa). Osim toga, usmjeritelji čuvaju tablice IP i MAC adresa prema kojima usmjeravaju promet.
Vatrozid (eng. firewall)
Vatrozid pohranjuje detaljne zapise aktivnosti sustava kao što su prepoznati napadi, odbačeni paketi, aplikacije kojima je dopušten ulaz ili izlaz te popisuje sve sumnjive aktivnosti.
Preklopnik (eng. switch)
Preklopnici ne stvaraju zapise, ali su korisni za postavljanje prisluškivača ili tzv. zrcala kako bi se kopirali nadolazeći podaci u stvarnom vremenu. No u CAM memoriji (eng. Content Addressable Memory) se mogu pronaći podaci o MAC adresama povezanih s određenim portovima, kao i podaci o virtualnim lokalnim mrežama (VLAN – eng. Virtual Local Area Network).
IPS (eng. Intrusion Prevention System)
IPS-u je svrha blokirati ili isključiti svaku uočenu prijetnju u mreži. Zapisuje mnoge događaje kao i IDS, ali glavna mu je funkcija analizirati podatke na mreži u stvarnom vremenu. Ako se IDS može usporediti sa protuprovalnim alarmom, IPS bi pozvao policiju i blokirao vrata.