Track Forensics
Описание инцидента
Службой безопасности компании «Х» была зафиксирована подозрительная сетевая активность. Вам нужно проанализировать ситуацию, расследовать инцидент и найти следы активности атакующих. У вас есть дамп оперативной памяти и побитовая копия диска хоста, которые могут содержать информацию об инциденте. Вам нужно подготовить подробный отчёт о проведённом расследовании.
Практические навыки, необходимые для выполнения дипломной работы:
- работа с дампами оперативной памяти;
- работа с побитовыми копиями;
- анализ активности атакующих;
- восстановление техник и тактик атакующих;
- составление отчёта о криминалистическом исследовании.
Исходные данные:
- дамп оперативной памяти;
- побитовая копия диска.
Ссылки на материалы для исследования есть в личном кабинете.
Задача
Составить подробный отчёт о проведённом расследовании. Он должен включать себя информацию, подкреплённую доказательствами в виде скриншотов:
- обнаруженные следы атакующих;
- восстановление картины произошедшего инцидента в виде описания характеристики инцидента;
- маппинг действий атакующих по матрице MITRE ATT&CK;
- предложения по ликвидации последствий и восстановлению.
Пример структуры отчёта
- Характеристика инцидента.
- Описание инцидента по матрице MITRE ATT&CK.
- 2.1. Первоначальное проникновение (Initial Access).
- 2.2. ***************
- 2.3. ***************
- 2.*. ***************
- 2.*. ***************
- Рекомендации по ликвидации последствий инцидента и восстановлению.
Виды документов для отчёта
- Характеристика инцидента — в виде текстового пояснения, описывающего ход инцидента, а также отражать действия атакующих на каждом из этапов без технических подробностей.
- Маппинг действий атакующих по матрице MITRE ATT&CK — в виде таблицы, отражающей соответствие тактики и техник, которые использовали атакующие в рамках исследуемого инцидента.
Описание каждого из этапов инцидента по матрице MITRE ATT&CK нужно оформить в формате:
- указать технику;
- дать описание действиям атакующих и выполненным процедурам;
- подкрепить выводы скриншотами.
В конце отчёта в рамках дополнительного задания можно дать рекомендации по ликвидации последствий инцидента и восстановлению.