Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Développez des récits
Au cours de l'analyse et de l'investigation, documentez les mesures prises, les analyses effectuées et les informations identifiées, à utiliser lors des phases suivantes et, finalement, dans un rapport final. Ces récits doivent être succincts et précis, confirmant que les informations pertinentes sont incluses afin de vérifier la bonne compréhension de l'incident et de maintenir un calendrier précis. Ils sont également utiles lorsque vous impliquez des personnes extérieures à l'équipe principale de réponse aux incidents. Voici un exemple :
Le service marketing et commercial a reçu une demande de rançon le 15 mars 2022 demandant un paiement en cryptomonnaie afin d'éviter la publication d'éventuelles données sensibles. Le SOC a déterminé que la base de données Amazon RDS appartenant au marketing et aux ventes était accessible au public le 20 février 2022. Le SOC a interrogé les journaux d'accès RDS et a déterminé que l'adresse IP 198.51.100.23 avait été utilisée le 20 février 2022 avec les informations d'identification mm03434 appartenant au major Mary, l'un des développeurs Web. Le SOC a interrogé les journaux de flux VPC et a déterminé qu'environ 256 Mo de données étaient sortis vers la même adresse IP à la même date (horodatage 22:02-20T 15:50+00Z). Le SOC a déterminé, grâce à des informations sur les menaces open source, que les informations d'identification sont actuellement disponibles en texte brut dans le référentiel https[:]//example[.]com/majormary/rds-utils public.
