Revisión de logs críticos después de un incidente de seguridad

Luego que un incidente de seguridad es mitigado viene la forensia, que sucedió?, lo primero es aislar a la víctima[máquina], sacar a lo menos 2 imágenes del disco y memoria para que el original no sufra alteraciones durante el análisis con la segunda copia se empieza el análisis[la primera es para backup], puedes partir revisando los logs.
Que revisar y dónde?
Aquí un checklist de auditoría de logs del SANS Institute que nos indica cómo empezar, que revisar y dónde.