Пример расследования инцидента с помощью KUMA

Выявление атаки на IT-инфраструктуру организации с помощью KUMA состоит из следующих шагов:

1. Предварительная подготовка
2. Назначение алерта пользователю
3. Проверка на соответствие между сработавшим правилом корреляции и данными событий алерта
4. Анализ информации об алерте
5. Проверка на ложное срабатывание
6. Определение критичности алерта
7. Создание инцидента
8. Расследование
9. Поиск связанных активов
10. Поиск связанных событий
11. Запись причин инцидента
12. Реагирование
13. Восстановление работоспособности активов
14. Закрытие инцидента

В описании шагов приводится пример действий по реагированию, которые мог бы выполнить аналитик при обнаружении инцидента в IT-инфраструктуре организации. Вы можете посмотреть описание и пример для каждого шага, перейдя по ссылке в его названии. Примеры относятся непосредственно к описываемому шагу.

Условия инцидента, для которого приводятся примеры, см. в разделе Условия возникновения инцидента.

Более подробную информацию о способах и инструментах реагирования вы можете посмотреть в документе Руководство по реагированию на инциденты информационной безопасности. На сайте Securelist "Лаборатории Касперского" вы также можете ознакомиться с дополнительными рекомендациями по выявлению инцидентов и реагированию.

В этом разделе справки Условия возникновения инцидента Шаг 1. Предварительная подготовка Шаг 2. Назначение алерта пользователю Шаг 3. Проверка на соответствие между сработавшим правилом корреляции и данными событий алерта Шаг 4. Анализ информации об алерте Шаг 5. Проверка на ложное срабатывание Шаг 6. Определение критичности алерта Шаг 7. Создание инцидента Шаг 8. Расследование Шаг 9. Поиск связанных активов Шаг 10. Поиск связанных событий Шаг 11. Запись причин инцидента Шаг 12. Реагирование на инцидент Шаг 13. Восстановление работоспособности активов Шаг 14. Закрытие инцидента

В начало