Шаг 8. Расследование

Пример

Аналитик открывает информацию о затронутом в рамках инцидента активе (Инциденты → необходимый инцидент → Связанные алерты → необходимый алерт → Связанные активы → необходимый актив). В информации об активе видно, что актив привязан к категориям Business impact/HIGH и Device type/Workstation, которые являются критичными для IT-инфраструктуры организации.

Также в информации об активе могут быть полезны следующие данные:

• FQDN, IP-адрес и MAC-адрес актива.
• Время создания актива и последнего обновления информации.
• Количество алертов, с которыми этот актив связан.
• Категории, к которым привязан актив.
• Уязвимости актива.
• Информация об установленном программном обеспечении.
• Информация об аппаратных характеристиках актива.

  Аналитик открывает информацию о связанной учетной записи пользователя (Инциденты → необходимый инцидент → Связанные алерты → ссылка с необходимым алертом → Связанные пользователи → учетная запись).

  В информации об учетной записи могут быть полезны следующие данные:

• Имя пользователя.
• Имя учетной записи.
• Адрес электронной почты.
• Группы, в которых состоит учетная запись.
• Дата истечения пароля.
• Дата создания пароля.
• Время последнего неверного ввода пароля.