Пример расследования инцидента с помощью Kaspersky SMP
Этот сценарий представляет собой пример рабочего процесса расследования инцидента.
Расследование инцидента проходит поэтапно:
- Назначение алерта пользователю
Вы можете назначить алерт себе или другому пользователю.
- Проверка совпадения сработавшего правила корреляции с данными событий алерта
Просмотрите информацию об алерте и убедитесь, что данные о событии алерта соответствуют сработавшему правилу корреляции.
- Анализ информации об алерте
Проанализируйте информацию об алерте, чтобы определить, какие данные требуются для дальнейшего анализа алерта.
- Обогащение вручную
Запустите доступные решения для дополнительного обогащения события (например, Kaspersky TIP).
- Проверка ложного срабатывания
Убедитесь, что действие, запустившее правило корреляции, является аномальным для ИТ-инфраструктуры организации.
- Создание инцидента
Если шаги с 3 по 5 показывают, что алерт требует расследования, вы можете создать инцидент или связать алерт с существующим инцидентом.
Вы также можете объединить инциденты.
- Расследование
Этот шаг включает в себя просмотр информации об активах, учетных записях пользователей и алертах, связанных с инцидентом. Вы можете использовать граф расследования и инструменты поиска угроз, чтобы получить дополнительную информацию.
- Поиск связанных активов
Вы можете просмотреть алерты, которые возникли на активах, связанных с инцидентом.
- Поиск связанных событий
Вы можете расширить область расследования, выполнив поиск событий связанных алертов.
- Запись причин инцидента
Вы можете записать информацию, необходимую для расследования, в журнал изменений инцидента.
- Действие по реагированию
Вы можете выполнять действия по реагированию вручную.
- Закрытие инцидента
После принятия мер по удалению следов присутствия злоумышленника в ИТ-инфраструктуре организации можно закрыть инцидент.