Этот сценарий представляет собой пример рабочего процесса расследования инцидента.
Расследование инцидента состоит из следующих этапов:
Вы можете назначить алерт себе или другому пользователю.
Просмотрите информацию об алерте и убедитесь, что данные о событии алерта соответствуют сработавшему правилу корреляции. Если алерт является ложным срабатыванием, измените правило корреляции.
Проанализируйте информацию об алерте, чтобы определить, какие данные требуются для дальнейшего анализа алерта.
Запустите доступные решения для дополнительного обогащения события (например, Kaspersky TIP).
Убедитесь, что действие, запустившее правило корреляции, является аномальным для ИТ-инфраструктуры организации.
Если шаги с 3 по 5 показывают, что алерт требует расследования, вы можете создать инцидент или связать алерт с существующим инцидентом.
Вы также можете объединить инциденты.
Вы можете управлять инцидентами, изменяя статусы инцидентов и их приоритеты, а также назначая инциденты другим аналитикам.
Можно управлять SLA инцидентов, типами инцидентов и рабочими процессами. Также вы можете отслеживать трудозатраты на работу, связанную с инцидентом.
Этот шаг включает в себя просмотр информации об активах, учетных записях пользователей и алертах, связанных с инцидентом. Вы можете использовать граф расследования и инструменты поиска угроз, чтобы получить дополнительную информацию.
Вы можете просмотреть алерты, которые возникли на активах, связанных с инцидентом.
Вы можете расширить область расследования, выполнив поиск событий связанных алертов.
Вы можете записать информацию, необходимую для расследования, в журнал изменений инцидента.
Вы можете выполнять действия по реагированию вручную.
Вы можете выполнить действие по реагированию на инцидент, запустив плейбук вручную.
После принятия мер по удалению следов присутствия злоумышленника в ИТ-инфраструктуре организации можно закрыть инцидент.