初参加。ヽ(´ー｀)ノ

「フォレンジック＝ツール(orツールを使う)」な理解をしてる人って多いのかなぁ。「フォレンジック」って「インシデント発生後にインシデントを立証するための作業」ですよね。
例えば「Snortを使用するのはフォレンジックか？」という問いの答えは、YesでもありNoでもあると思う。
以下のような場合
1、侵入検知装置としてSnort動作中。
2、アラートが検出。
3、詳細を調査するために-dオプションをつけてSnortを再起動。
4、情報収集...

2までは侵入検知ツールとしての使用だし、3以降はフォレンジックツール(兼侵入検知ツール)として使用してると言える。
かなり大雑把だけど3以降がフォレンジック。

用事があったので飲み会は不参加。(´Д⊂
家で無罪判決を待ってる人がいるので。(嘘)