Вы находитесь на странице: 1из 1

42    Процесс реагирования на компьютерные инциденты

Рис. 2.4

В этом примере у нас много индикаторов компрометации, и когда мы со-


бираем все части воедино, то можем подтвердить атаку.
Приведенная ниже таблица дает более подробное объяснение этой диа­
граммы:

Шаг Журнал Атака/Действие


1 Защита конечных точек и журналы операционной Фишинговое письмо
системы могут помочь определить индикатор
взлома
2 Защита конечных точек и журналы операционной Дальнейшее распространение по сети
системы могут помочь определить индикатор с последующим повышением привилегий
взлома
3 Журналы сервера и сбор сетевых данных могут Несанкционированный или вредоносный
помочь определить индикатор взлома процесс может прочитать или изменить
данные
4 Предполагая, что между облачными и локальными Извлечение данных и передача их
ресурсами существует межсетевой экран, журнал командно-контрольному серверу
межсетевого экрана и сбор сетевых данных могут
помочь определить индикатор взлома

Как вы убедились, существует множество мер безопасности, которые могут


помочь определить признаки компрометации. Однако объединение их всех во
временную шкалу атаки и пересечение данных может быть еще более мощным.