Пример расследования инцидента с помощью KUMA
Выявление атаки на IT-инфраструктуру организации с помощью KUMA состоит из следующих шагов:
- Предварительная подготовка
- Назначение алерта пользователю
- Проверка на соответствие между сработавшим правилом корреляции и данными событий алерта
- Анализ информации об алерте
- Проверка на ложное срабатывание
- Определение критичности алерта
- Создание инцидента
- Расследование
- Поиск связанных активов
- Поиск связанных событий
- Запись причин инцидента
- Реагирование
- Восстановление работоспособности активов
- Закрытие инцидента
В описании шагов приводится пример действий по реагированию, которые мог бы выполнить аналитик при обнаружении инцидента в IT-инфраструктуре организации. Вы можете посмотреть описание и пример для каждого шага, перейдя по ссылке в его названии. Примеры относятся непосредственно к описываемому шагу.
Условия инцидента, для которого приводятся примеры, см. в разделе Условия возникновения инцидента.
Более подробную информацию о способах и инструментах реагирования вы можете посмотреть в документе Руководство по реагированию на инциденты информационной безопасности. На сайте Securelist "Лаборатории Касперского" вы также можете ознакомиться с дополнительными рекомендациями по выявлению инцидентов и реагированию.
