Procurando uma coisa, encontrei outra (isso quase sempre acontece não é mesmo). Achei esse artigo da Microsoft sobre análise forense em ambiente Windows. Aliás estava demorando depois da compra da SYSINTERNALS e incorporação das ferramentas para aparecer documentação relacionada ao tema no site da Microsoft.
O documento fala sobre um modelo e processo de investigação em ambiente Windows. Bem propício afinal trata-se de uma dura realidade, mas na maioria dos casos as área de segurança se preocupam com muitas coisas mas ainda se esquecem de um "pequeno" detalhe. Apesar de mitigar os riscos, as ameaças ainda assim podem comprometer um ativo no ambiente explorando uma vulnerabilidade residual. E ai será que sua empresa está preparada para responder aos incidentes de segurança?
Não me refiro a um PCN (plano de continuidade de negócios), mas sim a um time treinado e capaz de seguir procedimentos bem definidos para identificar e entender um possível incidente, avaliar e responder adequadamente ao mesmo, intervindo se necessário com autoridades externas e utilizando quando necessário as melhores práticas de análise forense para a coleta preservação e análise de evidências.
Vale a leitura, afinal é melhor conhecer e testar as técnicas antes mesmo de você realmente precisar, pois na hora do "vamos ver" não da para ficar "testando".
Uma outra dica? De uma olhada no live CD Helix e a documentação no mesmo, pode ser uma boa referência também.