서술 개발
분석 및 조사 중 후속 단계와 최종 보고서에서 사용할 수 있도록 수행된 작업, 수행된 분석 및 식별된 정보를 문서화합니다. 이러한 서술은 간결하고 정확해야 하며, 인시던트에 대한 효과적인 이해를 확인하고 정확한 타임라인을 유지하기 위해 관련 정보가 포함되어 있는지 확인해야 합니다. 또한 핵심 인시던트 대응 팀 외부의 사람들을 참여시킬 때도 유용합니다. 다음 예를 참고하세요
마케팅 및 영업 부서는 2022년 3월 15일에 민감한 데이터가 공개적으로 게시되는 것을 피하려면 암호화폐를 지불하라는 랜섬웨어 공격을 받았습니다. SOC는 2022년 2월 20일 마케팅 및 영업 부서의 Amazon RDS 데이터베이스가 공개 접근이 가능했다고 판단했습니다. SOC는 RDS 액세스 로그를 쿼리하고 웹 개발자 중 한 명인 Major Mary에게 속한 자격 증명 mm03434와 함께 2022년 2월 20일에 IP 주소 198.51.100.23이 사용되었다고 판단했습니다. SOC는 VPC 흐름 로그를 쿼리하고 동일한 날짜에 약 256MB의 데이터가 동일한 IP 주소로 송신되었다고 판단했습니다(타임스탬프 2022-02-20T15:50+00Z). SOC는 오픈 소스 위협 인텔리전스를 통해 자격 증명이 현재 퍼블릭 리포지토리 https[:]//example[.]com/majormary/rds-utils에서 일반 텍스트로 사용 가능함을 확인했습니다.
