Шаг 10. Поиск связанных событий

Пример

В результате поиска аналитику удалось найти событие A new process has been created, в котором была записана команда для создания нового ключа реестра. Исходя из данных события, аналитик обнаружил, что родительским процессом для reg.exe был cmd.exe. То есть злоумышленник запустил командную строку и выполнил команду в ней. В информации о событии была записана информация о файле ChromeUpdate.bat, для которого был выполнен автозапуск. Чтобы узнать происхождение этого файла, аналитик выполнил поиск событий по базе событий по полю FileName = ‘C:\\Users\\UserName\\Downloads\\ChromeUpdate.bat’ и по маске доступа %%4417 (тип доступа WriteData (or AddFile)):

SELECT * FROM 'events' WHERE DeviceCustomString1 like '%4417%' and FileName like ‘C:\\Users\\UserName\\Downloads\\ChromeUpdate.bat’ AND Device Vendor 'Microsoft' ORDER BY Timestamp DESC LIMIT 250

В результате поиска аналитик обнаружил, что файл был скачан из внешнего источника с помощью процесса msedge.exe. Это событие аналитик также привязал к алерту.

Произведя поиск связанных событий для каждого алерта инцидента, аналитик выявил всю цепочку атаки.