Сообщить об инциденте
Сообщить об инциденте
Главная
Обнаружение следов компрометации

Обнаружение следов компрометации

Проверка инфраструктуры на наличие признаков компрометации и скрытого присутствия злоумышленника
Направить запрос

Когда требуется Compromised Assessment:

Подозрение

Есть подозрение на компрометацию инфраструктуры, но активный инцидент не подтверждён

Поиск следов

Необходимо проверить, остались ли следы злоумышленника после атаки или локализации инцидента

Подозрительная активность

Есть признаки подозрительной активности, но неясны её масштаб и источник

Проверка инфраструктуры

Нужно проверить доменную инфраструктуру, серверы и рабочие станции на наличие механизмов закрепления

Оценка состояния

Необходимо оценить фактическое состояние инфраструктуры после выявления IoC, алертов или подозрительных событий

Техническое заключение

Требуется получить техническое заключение о наличии либо отсутствии признаков компрометации

Описание

Compromise Assessment — услуга проверки инфраструктуры при подозрении на компрометацию, наличии косвенных признаков атаки или после инцидента, когда необходимо понять, остались ли в инфраструктуре следы злоумышленника, скрытые механизмы закрепления и дополнительные заражённые узлы.
Услуга не заменяет реагирование на активный инцидент, а позволяет оценить текущее состояние инфраструктуры и выявить признаки компрометации.

Этапы работ

В рамках услуги выполняется техническая проверка инфраструктуры на наличие признаков компрометации с использованием triage, анализа журналов, поиска IoC, проверки доменной инфраструктуры и исследования механизмов закрепления.
9

Подготовка итогового отчёта

8

Анализ вредоносного ПО при обнаружении образцов

7

Анализ подозрительных процессов и сетевой активности

6

Выявление закрепления

5

Анализ доменной инфраструктуры

4

YARA-сканирование

3

IoC-hunting

2

Анализ журналов безопасности и системных событий

1

Сбор triage-артефактов с рабочих станций и серверов

Результат

По итогам Compromise Assessment Вам предоставляется отчёт, содержащий:

  • Выявленные признаки компрометации,
  • Анализ возможного сценария атаки,
  • Перечень уязвимых мест и слабых точек инфраструктуры,
  • Рекомендации по устранению рисков и усилению защиты


Compromise Assessment не включает:

  • Реагирование на активный инцидент,
  • Очистку инфраструктуры от вредоносного ПО,
  • Восстановление систем и сервисов,
  • Настройку средств защиты информации.
*Если в ходе Compromise Assessment выявляются признаки активного инцидента, дальнейшие работы выполняются в рамках услуги реагирования на инциденты (ГБР)