Size: a a a

SOС Технологии

2021 October 16

A

Amor in SOС Технологии
Зависит от ситуации же. Минут 5 до взятия, пара минут на предварительное расследование. А дальше от ваших возможностей. Собираете все логи/есть едр -- быстрее, идёте общаться с пользователем -- медленнее. Проверить начальные иоки -- пара минут. А дальше уже от ситуации) в лучше случае минут 5-10 на все. В среднем 15-20. В худшем, закрываем компанию из-за потерь)
источник

B

BDV in SOС Технологии
Ну вот сколько по времени займет кейс, когда сотрудник все-таки открыл этот PDF?
источник

Z

Zer🦠way in SOС Технологии
🍿
источник

A

Amor in SOС Технологии
А что в пдф?
источник

Z

Zer🦠way in SOС Технологии
А потом что произошло?
источник

Z

Zer🦠way in SOС Технологии
Ну открыл а дальше что было?:)
источник

B

BDV in SOС Технологии
Пока известно, что песочница его определила как malware. Надо еще понять почему
источник

Z

Zer🦠way in SOС Технологии
Дальше реверс шелл? Криптолокер? Отложенный запуск чего то там?
источник

B

BDV in SOС Технологии
Ну пусть криптолокер
источник

B

BDV in SOС Технологии
Wannacry для точности эксперимента
источник

Z

Zer🦠way in SOС Технологии
Ну тогда все произойдёт более менее быстро, у пользователя схлопнутся файлы и это будет наглядно видно и пользователю и аналитику
источник

B

BDV in SOС Технологии
Мне интересен playbook
источник

B

BDV in SOС Технологии
Что делает SOC и CSIRT
источник

IM

Igor Mikhaylov in SOС Технологии
антивирус убил файл)
источник

Z

Zer🦠way in SOС Технологии
😂вирус убил антивирус
источник

B

BDV in SOС Технологии
Или наоборот ))
источник

m

medoka in SOС Технологии
Как то очень кругло в вакууме звучит
источник

BB

B B in SOС Технологии
POP3 по-моему как bcc никогда не ставят, она на потоке работает. Так что до юзера файл либо дошел и он его запустил, сработало что-то другое, тогда инцидент и начинаем отрабатывать, либо не дошел и инцидента нет, файл остался в карантине, а отработка такого случая - ну только если в научно-просветительских целях
источник

BB

B B in SOС Технологии
Каков вопрос…
источник

B

BDV in SOС Технологии
Ну вот вопрос к практикам. Как быстро вы делаете containment?
источник