Сложно говорить о решении какой-то проблемы, когда видишь 146% :)

Повод изучить ;)

Слайд максимум про стикс 2, скорее стикс 1.+

Угу ;)

Митре примерно актуальность до мая 2020

На слайде, скорее всего, вендорская аппроксимация, которая обычно запаздывает

Но не отменяет)

Это мой слайд 2019 года.  Да, надо сделать новый..

Да)))
Но слайд тогда был отличный

Спасибо!

Кто из SOC. Расскажите пожалуйста конкретную процедуру работы аналитика и ожидамое время, которое он потратит на отработку инцидента после появления сообщения в SOC, что сотрудник скачал PDF файл на свой компьютер по POP3 и песочница через 1 минуту написала, что это вредоносный PDF.

Ну, зависит от степени контроля над инфраструктурой, от поведения пользователя и возможностей малвари. Но необходимо в любом случае двигаться в сторону ответа на следующие вопросы: точно ли файл вредоносный, запустил ли его пользователь, произошло ли заражение (проверка индикаторов компрометации), кому еще приходили подобные файлы. Если заражение произошло, то какое поведение у вредоноса. А там уже респонс по обстоятельствам. + не забыть изолировать рабочую станцию, если пользователь запустил файл.

EDR заблокирует. Operation terminated 😀

Ты бы уточнил фразу "потратит на отработку". Возьмем в работу инцидент? Локализует проблему? Среагирует на инцидент? Закроет тикет?

0 секунд. На потоке, если песочка написала, что это вредоносный pdf, то он должен зарезаться и на этом все кончилось. Аналитик даже не пойдет по каждому пдф разбираться, если только не прилетит ситуация, когда «пдф очень ждут, это вроде тот самый и он важный». Тогда да, смотреть надо, фолзы не исключены

Интересно нахождение песочницы в потоке трафика в данном случае, если вердикт постфактум, значит в режиме BCC работает, что конечно не идеальный вариант. Если бы в режиме МТА, то такого сценария изначально бы не было, вложение ушло бы на карантин, как написали выше. Но бывают и сценарии, что нет возможности настроить проверку в режиме МТА, здесь, вероятно, как раз такой случай.

++
По времени - если по-хорошему, то от 20-30 минут (если только эту машину отработать + задокументировать всё и оформить тикет) до часов двух-трёх, а то и больше, если малварь успешно запустилась и надо понять, что она там такого могла в инфраструктуре наделать. Если без документирования - будет чуть быстрее, но зачем 🤷🏻‍♂️

Да. Все это. Плюс закроет тикет.

Песочка как мы помним все делает не мгновенно. Ей нужно 1-5 минут на анализ, в зависимости от вендора и сложности поведенческого анализа и очереди файлов на проверку. Сначала файл проходит, потом мы получаем инфу, что это был неизвестный ранее файл с вредоносным действием.

Вы про SMTP говорите. С POP3, IMAP, FTP, SMB так не получится. Там только ловить в потоке.