编写叙述
在分析和调查期间,需记录所采取的操作、执行的分析以及确定的信息,以供后续阶段使用,并生成最终报告。这些叙述应当简洁准确,确认包含相关信息以验证对事件的有效理解,并维护准确的时间线。与核心事件响应团队之外的人员交流时,这些叙述也很有帮助。示例如下:
市场销售部门于 2022 年 3 月 15 日收到一封勒索信函,要求支付加密货币,否则将公开发布潜在敏感数据。SOC 发现,属于市场销售部门的 Amazon RDS 数据库在 2022 年 2 月 20 日处于公开访问状态。SOC 查询了 RDS 访问日志,发现有人通过属于网站开发人员之一的 Major Mary 的凭证 mm03434,于 2022 年 2 月 20 日使用了 IP 地址 198.51.100.23。SOC 进一步查询了 VPC 流日志,发现约 256 MB 数据在同一天(时间戳 2022-02-20T15:50+00Z)外流至同一 IP 地址。SOC 通过开源威胁情报确定,该凭证目前在公共存储库 https[:]//example[.]com/majormary/rds-utils 中以纯文本形式提供。
