説明文を作成する
分析と調査中に、実行したアクション、実施した分析、特定された情報を文書化して、後続のフェーズ、および最終的には最終レポートで使用します。これらの説明文は簡潔かつ正確でなければならず、インシデントを効果的に理解し、正確なタイムラインを維持するための関連情報が含まれていることを確認する必要があります。コアインシデント対応チーム以外の人々を関与させる場合にも役立ちます。以下がその例です。
2022 年 3 月 15 日に、機密データの公開を避けたければ暗号通貨で支払えと要求する身代金要求書が営業マーケティング部門宛に届きました。SOC は、営業マーケティング部門に属する Amazon RDS データベースが 2022 年 2 月 20 日にパブリックアクセス可能だったと判断しました。SOC が RDS アクセスログをクエリした結果、ウェブ開発者の 1 人である Major Mary に属する認証情報 mm03434 により、IP アドレス 198.51.100.23 が 2022 年 2 月 20 日に使用されたと判断しました。SOC は VPC フローログにクエリを実行し、同日 (タイムスタンプ 2022-02-20T15:50+00Z) に同じ IP アドレスに約 256MB のデータが送信されたと判断しました。SOC は、オープンソースの脅威インテリジェンスを通じて、認証情報がパブリックリポジトリ https[:]//example[.]com/majormary/rds-utils でプレーンテキストで利用可能な状況だと判断しました。
