这篇文章是使用DarkTrace总结一些安全事件调查步骤。

调查方法

任何事件响应者都将始终通过询问有关调查事件的一些高级别问题 - 无论是广告软件感染,银行特洛伊木马,赎金软件,积极入侵或任何其他形式的网络安全事件。

最重要的问题通常是:

  • 感染是如何发生的? (为了防止未来相同的初始感染载体)
  • 受感染的设备表现出什么行为? (理解感染的威胁和风险)
  • 看到妥协指标(IOC)是什么? (更新其他安全工具并用于进一步调查)
  • 其他设备也被感染吗? (评估感染程度)

一个CEO-膝上型文件下载事件示例

1 查看威胁托盘

2 使用违规日志以快速识别违约所涉及的设备

3 使用放大镜功能可视化3D的情况。为此违规提供情况意识,即哪种设备,连接到哪个设备。 

4 使用图形叠加建模指标和解释日志文件

5 比较类似的设备的正常行为

6 Thereafter, enter向此违反的评论

7 使用高级搜索工具收集更多信息

8 User Open Source Intelligent Tools (OSIT) to Identity Files and URL. (http://virustotal.com/)

9 再次输入意见后确认此违反。

参考

来自Blogger. http://blog.fabiandinkins.com/2020/12/darktrace-investigation-steps.html

经过 Jon.

发表评论