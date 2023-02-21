当数字取证和事件响应分开进行时，它们可能会相互干扰。事件响应人员可在从网络中移除威胁的同时更改或销毁证据，而取证调查人员在搜索证据时则可能会推迟威胁处理。此外，这些团队之间可能无法进行信息流通，从而导致每个人的工作效率都低于其应有的水平。

DFIR 可将这两个学科融合为由一个团队执行的单个流程。此举可提供两个重要的优点：

取证数据收集与威胁缓解同时进行。在 DFIR 过程中，事件响应人员会在遏制和消除威胁的同时使用取证技术来收集和保留数字证据。此举可确保监管链得到切实遵循，而有价值的证据也不会因事件响应工作而遭到改变或破坏。

事后审查包括检查数字证据。DFIR 使用数字证据以深入了解安全事件。DFIR 团队会检查并分析所收集的证据，以便完整地重建该事件。DFIR 流程结束时会生成一份报告，其中详细说明了发生的事件、发生的过程、完整的损害程度以及未来如何避免类似的攻击。

由此带来的好处包括：