Netology | Track Forensics

Track Forensics

Описание инцидента

Службой безопасности компании «Х» была зафиксирована подозрительная сетевая активность. Вам нужно проанализировать ситуацию, расследовать инцидент и найти следы активности атакующих. У вас есть дамп оперативной памяти и побитовая копия диска хоста, которые могут содержать информацию об инциденте. Вам нужно подготовить подробный отчёт о проведённом расследовании.

Практические навыки, необходимые для выполнения дипломной работы:

• работа с дампами оперативной памяти;
• работа с побитовыми копиями;
• анализ активности атакующих;
• восстановление техник и тактик атакующих;
• составление отчёта о криминалистическом исследовании.

Исходные данные:

• дамп оперативной памяти;
• побитовая копия диска.

Ссылки на материалы для исследования есть в личном кабинете.

Задача

Составить подробный отчёт о проведённом расследовании. Он должен включать себя информацию, подкреплённую доказательствами в виде скриншотов:

• обнаруженные следы атакующих;
• восстановление картины произошедшего инцидента в виде описания характеристики инцидента;
• маппинг действий атакующих по матрице MITRE ATT&CK;
• предложения по ликвидации последствий и восстановлению.

Пример структуры отчёта

1. Характеристика инцидента.
2. Описание инцидента по матрице MITRE ATT&CK.
3. 2.1. Первоначальное проникновение (Initial Access).
4. 2.2. ***************
5. 2.3. ***************
6. 2.*. ***************
7. 2.*. ***************
8. Рекомендации по ликвидации последствий инцидента и восстановлению.

Виды документов для отчёта

1. Характеристика инцидента — в виде текстового пояснения, описывающего ход инцидента, а также отражать действия атакующих на каждом из этапов без технических подробностей.
2. Маппинг действий атакующих по матрице MITRE ATT&CK — в виде таблицы, отражающей соответствие тактики и техник, которые использовали атакующие в рамках исследуемого инцидента.

Описание каждого из этапов инцидента по матрице MITRE ATT&CK нужно оформить в формате:

• указать технику;
• дать описание действиям атакующих и выполненным процедурам;
• подкрепить выводы скриншотами.

В конце отчёта в рамках дополнительного задания можно дать рекомендации по ликвидации последствий инцидента и восстановлению.

ВНИМАНИЕ! Работа ранее сдавалась и была оценена на отлично, но путь решения в задании один и подходит для этого задания. Так что можете не много изменить отчет под себя, что бы он был более оригинальный или оставить как есть и надеяться на плохую память преподавателя. Если будут вопросы - то задавайте в личные сообщения. Удачи в учебе)