Proses forensik jaringan terdiri dari beberapa tahap, yakni :
1) Akuisisi dan pengintaian (reconnaissance)
Yaitu proses untuk mendapatkan/mengumpulkan data volatil (jika bekerja pada sistem online) dan data non-volatil (disk terkait) dengan menggunakan berbagai tool.
2) Analisa
Yaitu proses menganalisa data yang diperoleh dari proses sebelumnya, meliputi analisa real-time dari data volatil, analisa log-file, korelasi data dari berbagai divais pada jaringan yang dilalui serangan dan pembuatan time-lining dari informasi yang diperoleh.
3) Recovery
Yaitu proses untuk mendapatkan/memulihkan kembali data yang telah hilang akibat adanya intrusi, khususnya informasi pada disk yang berupa file atau direktori.
