🧠 1. ความหมายพื้นฐาน#
| หมวด | Forensics | Analysis |
|---|
| ชื่อเต็ม | Digital Forensics | Cyber / Network / Threat Analysis |
| คำอธิบาย | การเก็บ ตรวจสอบ และพิสูจน์หลักฐานดิจิทัลอย่างถูกต้องตามกระบวนการ | การวิเคราะห์ข้อมูลที่มีอยู่ เพื่อเข้าใจพฤติกรรม รูปแบบ หรือผลกระทบของเหตุการณ์ |
| เป้าหมาย | “พิสูจน์” ว่าเกิดอะไรขึ้น อย่างไร ใครทำ | “เข้าใจ / ประเมิน” ว่าเหตุการณ์นั้นมีผลอย่างไร หรือพฤติกรรมมีลักษณะใด |
| บริบทหลัก | ใช้ใน Incident Response, Investigation, Court Evidence | ใช้ใน Threat Hunting, Detection, Intelligence, Monitoring |
⚙️ 2. ลักษณะการทำงาน#
| ด้าน | Forensics | Analysis |
|---|
| จุดเริ่มต้น | หลังเกิดเหตุ (Reactive) | ก่อนหรือระหว่างเหตุการณ์ (Proactive / Real-time) |
| ข้อมูลที่ใช้ | Evidence: disk image, memory dump, logs, pcap | Telemetry: logs, alerts, network flow, sensor data |
| การจัดการข้อมูล | ต้อง รักษาความถูกต้องของหลักฐาน (Chain of Custody) | เน้น ตีความเชิงเทคนิค / สถิติ / พฤติกรรม |
| กระบวนการหลัก | Acquisition → Preservation → Examination → Analysis → Reporting | Data Collection → Correlation → Pattern Recognition → Insight |
| ผลลัพธ์ | รายงานทางนิติวิทยาศาสตร์ (ใช้ในศาลหรือ IR report) | ข้อมูลเชิงลึก / แนวโน้ม (เช่น Pattern, IOC, Alert) |
🔬 3. ตัวอย่างสถานการณ์เปรียบเทียบ#
| สถานการณ์ | การทำ Forensics | การทำ Analysis |
|---|
| Ransomware attack | ดึง disk image ของเครื่องติดเชื้อ → วิเคราะห์ไฟล์เข้ารหัส, key, timeline | วิเคราะห์ log การแพร่กระจาย, pattern ของ IP, และพฤติกรรมการสื่อสาร |
| Phishing email | วิเคราะห์ header, attachment, hash, metadata เพื่อพิสูจน์ต้นทาง | วิเคราะห์จำนวนเหตุการณ์คล้ายกัน และการแพร่กระจายในองค์กร |
| Data exfiltration | ตรวจสอบ USB logs, proxy logs, memory dump เพื่อหาการขโมยข้อมูล | วิเคราะห์พฤติกรรมของผู้ใช้, traffic anomaly |
| Compromised server | กู้ไฟล์จาก disk image เพื่อดู backdoor / malware | วิเคราะห์ network flow และการเข้าถึง abnormal sessions |
🧰 4. เครื่องมือที่ใช้แตกต่างกัน#
| ประเภท | Forensics Tools | Analysis Tools |
|---|
| Disk / Memory | Autopsy, FTK, EnCase, Volatility | ELK Stack, Loki, Grafana |
| Network | Wireshark, NetworkMiner | Zeek, Suricata |
| Threat Intel | MISP (ใช้ยืนยัน IOC) | OpenCTI, TheHive (วิเคราะห์ความสัมพันธ์ IOC) |
| Automation | KAPE, Velociraptor | SIEM, SOAR |
| Documentation | BookStack, Obsidian (IR Report) | Dataview Dashboard, SOC Playbook |
🧾 5. ความสัมพันธ์ของทั้งคู่ใน Incident Response#
+-------------------+
| Incident Happens |
+-------------------+
↓
+------------------------+
| Analysis (Detect, Correlate) |
| → หา pattern / alert / IOC |
+------------------------+
↓
+------------------------+
| Forensics (Investigate) |
| → เก็บหลักฐาน, พิสูจน์ timeline |
+------------------------+
↓
|→ Report / Lessons Learned |
สรุป:
💡 สรุปแบบสั้น (Cheat Sheet)#
| Keyword | คำอธิบาย |
|---|
| Forensics | เน้น “พิสูจน์” และ “รักษาหลักฐาน” เพื่อยืนยันข้อเท็จจริง |
| Analysis | เน้น “เข้าใจ” พฤติกรรม / รูปแบบ / ผลกระทบ |
| ความสัมพันธ์ | Analysis → ชี้จุดน่าสงสัย → Forensics → ตรวจเชิงลึก |
| ใช้ร่วมกันใน | Incident Response, Threat Hunting, DFIR |
| แนวทางจำ | Forensics = Proof, Analysis = Understanding |