Лабораторная «Расследование инцидента»,
информационная безопасность в Выборге

Описание инцидента: Службой безопасности компании «Х» была зафиксирована подозрительная сетевая активность. Вам нужно проанализировать ситуацию, расследовать инцидент и найти следы активности атакующих. У вас есть дамп оперативной памяти и побитовая копия диска хоста, которые могут содержать информацию об инциденте. Вам нужно подготовить подробный отчёт о проведённом расследовании. Ссылка на материалы для исследования: https://disk.yandex.ru/d/41KXcTXU7STzNA. Задача: Составить подробный отчёт о проведённом расследовании. Он должен включать в себя информацию, подкреплённую доказательствами в виде скриншотов: - обнаруженные следы атакующих; - восстановление картины произошедшего инцидента в виде описания характеристики инцидента; - маппинг действий атакующих по матрице MITRE ATT&CK; - предложения по ликвидации последствий и восстановлению. Пример структуры отчёта: 1. Характеристика инцидента. 2. Описание инцидента по матрице MITRE ATT&CK. 2.1. Первоначальное проникновение (Initial Access). 2.2. *************** 2.3. *************** 2.*. *************** 2.*. *************** 3. Рекомендации по ликвидации последствий инцидента и восстановлению. Виды документов для отчёта: - Характеристика инцидента — в виде текстового пояснения, описывающего ход инцидента, а также отражать действия атакующих на каждом из этапов без технических подробностей. - Маппинг действий атакующих по матрице MITRE ATT&CK — в виде таблицы, отражающей соответствие тактики и техник, которые использовали атакующие в рамках исследуемого инцидента. Описание каждого из этапов инцидента по матрице MITRE ATT&CK нужно оформить в формате: - указать технику; - дать описание действиям атакующих и выполненным процедурам; - подкрепить выводы скриншотами. В конце отчёта в рамках дополнительного задания можно дать рекомендации по ликвидации последствий инцидента и восстановлению.