Этот сценарий представляет собой пример рабочего процесса расследования инцидента.
Расследование инцидента проходит поэтапно:
Вы можете назначить алерт себе или другому пользователю.
Просмотрите информацию об алерте и убедитесь, что данные о событии алерта соответствуют сработавшему правилу корреляции.
Проанализируйте информацию об алерте, чтобы определить, какие данные требуются для дальнейшего анализа алерта.
Запустите доступные решения для дополнительного обогащения события (например, Kaspersky TIP).
Убедитесь, что действие, запустившее правило корреляции, является аномальным для ИТ-инфраструктуры организации.
Если шаги с 3 по 5 показывают, что алерт требует расследования, вы можете создать инцидент или связать алерт с существующим инцидентом.
Вы также можете объединить инциденты.
Этот шаг включает в себя просмотр информации об активах, учетных записях пользователей и алертах, связанных с инцидентом. Вы можете использовать граф расследования и инструменты поиска угроз, чтобы получить дополнительную информацию.
Вы можете просмотреть алерты, которые возникли на активах, связанных с инцидентом.
Вы можете расширить область расследования, выполнив поиск событий связанных алертов.
Вы можете записать информацию, необходимую для расследования, в журнал изменений инцидента.
Вы можете выполнять действия по реагированию вручную.
После принятия мер по удалению следов присутствия злоумышленника в ИТ-инфраструктуре организации можно закрыть инцидент.