Как работает система Threat Hunting в компьютерной криминалистике?

Threat Hunting в компьютерной криминалистике — это процесс обнаружения и реагирования на кибератаки, которые пропустили средства защиты сети и конечных точек. mcsi-library.readthedocs.io

Работа системы включает несколько этапов: mcsi-library.readthedocs.io

1. Подготовка. mcsi-library.readthedocs.io На этом этапе собирают информацию о сети организации и инфраструктуре безопасности. mcsi-library.readthedocs.io Создают список всех устройств и систем, подключённых к сети. mcsi-library.readthedocs.io Определяют типы информации, которая находится в организации, и где она расположена. mcsi-library.readthedocs.io
2. Поиск. mcsi-library.readthedocs.io На этом этапе ищут признаки компрометации в собранных данных. mcsi-library.readthedocs.io Например, анализируют необычные попытки входа в систему, неудачные попытки доступа или необычную активность процессов. mcsi-library.readthedocs.io
3. Анализ и сравнение. mcsi-library.readthedocs.io Аналитики более внимательно изучают данные, чтобы определить, действительно ли происходит вредоносная активность. mcsi-library.readthedocs.io Используют такие методы анализа, как статистический анализ или обнаружение на основе правил. mcsi-library.readthedocs.io
4. Реакция. mcsi-library.readthedocs.io Если найдена подозрительная активность, проводят расследование и определяют масштаб атаки. mcsi-library.readthedocs.io
5. Восстановление. mcsi-library.readthedocs.io На этом этапе принимают меры по содержанию и устранению угрозы. mcsi-library.readthedocs.io Могут отключать системы от сети, изолировать их от других систем или принимать другие шаги, чтобы предотвратить дальнейший ущерб. mcsi-library.readthedocs.io

Главная цель Threat Hunting — обнаружить взлом, который не был выявлен автоматизированными средствами защиты. habr.com