这篇文章总结了使用DarkTrace进行的一些安全事件调查步骤。

调查方法

任何事件响应者都将始终从与被调查事件有关的高级问题开始,而不管它是广告软件感染,银行木马,勒索软件,主动入侵还是任何其他形式的网络安全事件。

最重要的问题通常是:

  • 感染是如何发生的? (以防止将来使用相同的初始感染媒介)
  • 被感染的设备表现出什么行为? (了解感染的威胁和风险)
  • 可以看到哪些危害指标(IoC)? (更新其他安全工具并用于进一步调查)
  • 其他设备也被感染了吗? (评估感染程度)

一个CEO笔记本电脑文件下载事件示例

1 查看威胁托盘

2 使用违规日志快速识别涉及漏洞的设备

3 使用放大玻璃功能可以可视化3D情况。提供此漏洞的态势感知,即连接到哪个设备。 

4 使用图叠加建模指标并解释日志文件

5 比较类似设备的正常行为

6 Thereafter, entered对此违规行为发表评论

7 使用高级搜索工具收集更多信息

8 User Open Source Intelligent Tools (OSIT) to Identity Files and URL. (http://virustotal.com/)

9 再次输入评论后,请确认此违规行为。

参考文献

来自Blogger //blog.fabiandinkins.com/2020/12/darktrace-investigation-steps.html

通过 约翰

发表评论