Расследует смотря кто, в банках обычно согласно исо 27001 или itil есть процесс инцидент менеджмент, в политиках написано как реагировать (ответ на инцидент) согласно дорожной карте подключается другой процесс это DFI цифровая криминалистика, расследование. Действуют согласно процедуре, например снимается дамп памяти, жёсткого диска, с сетевого оборудования netflow. Как часто бывает dfi это посмертная процедура, когда уже угроза выявлена, локализована и устранена, или находится в приемлемом состоянии. При dfi задача стоит определении хронологии, и отчёта, после чего необходимо пересмотреть риски, и наконец принять, понизить или передать риски.
Для dfi имеются платные приложения и бесплатные, платные автоматизированы и если есть опыт то можно им пользоваться так как это упрощает процесс и экономит время.
Средний
Простой
