Шаг 4. Анализ информации об алерте

На этом этапе вам нужно проанализировать информацию об алерте, чтобы определить, какие данные требуется для дальнейшего анализа алерта.

Пример

Из информации об алерте аналитик узнает следующие данные:

  • какой ключ реестра был изменен;
  • на каком активе;
  • имя учетной записи, под которой был изменен ключ.

Эту информацию можно просмотреть в информации о событии, вызвавшем создание алерта (Алерты → алерт R093_Изменение критичных веток реестраСвязанные события → событие 2022-08-23 17:27:05), в полях FileName, DeviceHostName, SourceUserName соответственно.

В начало