Группа быстрого реагирования (DFIR)
Оперативное реагирование на инциденты информационной безопасности
Подключаемся при активных инцидентах ИБ: шифрование инфраструктуры, компрометация домена, заражение серверов и рабочих станций, lateral movement, подозрение на присутствие злоумышленника в сети.
Цель услуги — быстро локализовать угрозу, определить масштаб компрометации и обеспечить условия для восстановления бизнес-процессов Заказчика.
Обнаружили шифрование серверов или рабочих станций
Заметили признаки компрометации доменной инфраструктуры
Выявили подозрительные входы, запуск неизвестных служб или скриптов
Зафиксировали нарушение доступности критичных сервисов
Этапы работ
Подключаемся к инциденту, выполняем анализ инфраструктуры и артефактов, выявляем сценарий атаки и помогаем Заказчику перейти от кризисной фазы к безопасному восстановлению
9
Подготовка рекомендаций по локализации, очистке и безопасному восстановлению инфраструктуры
8
Восстановление сценария атаки
7
Формирование индикаторов компрометации (IoC) и YARA-правил
6
Анализ вредоносного программного обеспечения
5
Поиск горизонтального перемещения и механизмов закрепления
4
Форензика дисков, памяти и ключевых систем
3
Анализ журналов событий и данных средств защиты
2
Сбор triage-артефактов с рабочих станций, серверов и узлов доменной инфраструктуры
1
