Понедельник, 9:15 утра. SOC получает алерт: mass file encryption на файловом сервере финансового отдела. Через 12 минут - аналогичные срабатывания ещё на трёх хостах. Бэкапы в порядке, процедура восстановления задокументирована. К среде картина проясняется полностью: атакующие сидели в инфраструктуре больше недели, выгрузили клиентскую базу через легитимный RDP-канал, а шифровальщик запустили как финальный акт - после того как забрали всё, что хотели. По данным Mandiant M-Trends 2025, медианное время присутствия злоумышленника в сети до обнаружения - 11 дней, и 57% организаций узнают об инциденте от внешней стороны, а не от собственного SOC. Разница между «инцидент под контролем» и «данные уже на DLS» определяется качеством триажа в первые 30 минут.
Триаж инцидента кибербезопасности: первые 15 минут решают всё
Триаж - не расследование. Расследование начнётся потом, когда хосты изолированы и артефакты сохранены. Триаж - быстрая классификация: что произошло, насколько критично, какие решения принимать прямо сейчас. У аналитика L2 есть 15-20 минут на первичную оценку, прежде чем lateral movement сделает containment многократно сложнее.Требования к окружению
Минимальный инструментальный стек, который должен быть подготовлен ДО инцидента. Собирать его в момент алерта - терять критическое время.| Компонент | Инструменты | Назначение |
|---|---|---|
| SIEM | Splunk, Elastic SIEM, KUMA | Корреляция алертов, построение таймлайна |
| EDR | CrowdStrike Falcon, Microsoft Defender for Endpoint, SentinelOne | Изоляция хостов, телеметрия процессов |
| Forensic toolkit | WinPmem, FTK Imager Lite (портативная), Velociraptor | Memory dump, сбор артефактов |
| Сетевой мониторинг | Zeek, Suricata, NetFlow-коллектор | Анализ соединений и beaconing-паттернов |
| Документирование | Тикет-система с таймштампами (Jira, TheHive) | Фиксация действий для chain of custody |
Forensic toolkit хранится на USB-носителе или в сетевой шаре, доступной аналитику без запроса к IT. WinPmem - перед использованием стоит проверить актуальную версию в репозитории, FTK Imager Lite - бесплатная портативная версия от Exterro, не требует установки на целевой хост. Velociraptor - активно поддерживаемый open-source проект с частыми релизами. Если в момент инцидента нужно скачивать инструментарий - первые 15 минут уже потеряны.
Алгоритм принятия решений при триаже
Decision tree, который работает при реагировании на инциденты информационной безопасности в боевых SOC, а не в методичке:Шаг 1. Алерт - единичный или кластер? Единичный алерт на одном хосте - потенциально ложное срабатывание, переходим к валидации. Кластер - три и более хоста, или два и более разнотипных алерта на одном хосте за 10 минут - считаем инцидентом и переходим к containment-оценке немедленно.
Шаг 2. Какие TTPs видим? Маппинг на MITRE ATT&CK делается прямо на этапе триажа, а не потом. Process Discovery (T1057) или System Information Discovery (T1082) в связке с Data Staged (T1074) - это не просто рекогносцировка, это подготовка к эксфильтрации. Если параллельно видим Indicator Removal (T1070) или Impair Defenses (T1562) - атакующий заметает следы или гасит защиту, и время работает против нас.
Шаг 3. Актив критичен? Контроллер домена, файловый сервер с ПДн, SCADA-сервер - немедленная эскалация до incident commander. Рабочая станция рядового сотрудника - приоритет высокий, но критический только при признаках lateral movement.
Шаг 4. Есть ли lateral movement? Проверяем System Network Connections Discovery (T1049) и Remote System Discovery (T1018): аномальные RDP- и SMB-соединения между хостами, которые раньше не общались - красный флаг. В EDR это видно через граф сетевых соединений процесса, в SIEM - через корреляцию EventID 4624 (Type 3 и Type 10) по source IP.
Эта последовательность - не пересказ NIST SP 800-61. Это то, что реально делается, когда на дашборде мигает красным, а stakeholders уже звонят. На одном инциденте мы потеряли час, потому что аналитик пошёл по порядку из методички вместо того, чтобы сразу проверить lateral movement - к этому моменту атакующий уже был на DC.
Определяем масштаб инцидента безопасности
После первичного триажа нужно ответить на главный вопрос: «Сколько хостов скомпрометировано и какие данные затронуты?» Ответить неправильно - значит либо изолировать слишком мало (атакующий останется в сети), либо слишком много (бизнес встанет, и вы получите второй инцидент - организационный).Анализ индикаторов компрометации: три параллельных потока
Масштаб определяется через параллельный анализ трёх источников. Именно параллельный - последовательный съест всё окно реагирования.Телеметрия EDR. В CrowdStrike Falcon или Defender for Endpoint ищем все хосты, где фигурируют одинаковые IOC: хеши файлов, имена процессов, C2-домены или IP. Один и тот же загрузчик на пяти хостах - масштаб минимум пять, и это только то, что видит EDR. В Defender команда
Get-MpThreatDetection даёт список детектов по всему fleet.Логи SIEM. Строим таймлайн: от первого алерта назад на 14 дней. Ищем аутентификации с нетипичных IP, использование сервисных учёток в нерабочее время, массовые обращения к файловым шарам. Согласно NIST CSF v2.0 (DE.AE-01), baseline сетевых операций и ожидаемых потоков данных должен быть установлен и поддерживаться заранее - без него отличить аномалию от нормы невозможно.
Сетевая телеметрия. NetFlow или Zeek-логи: ищем beaconing-паттерны (регулярные исходящие соединения с фиксированным интервалом ±10%), аномальный объём исходящего трафика, DNS-запросы к свежезарегистрированным доменам.
По данным CrowdStrike Global Threat Report 2025, 75% вторжений использовали действительные учётные данные. Атакующий выглядит как легитимный пользователь - обнаружить его без анализа поведенческих baseline-отклонений нереально. IBM X-Force 2025 подтверждает тренд: рост атак с использованием валидных credentials составил 71% за год.
| Уровень IOC | Примеры | Где искать | Надёжность |
|---|---|---|---|
| Сетевой | C2-домены, IP, beaconing | Zeek, Suricata, DNS-логи | Высокая (если свежие) |
| Хостовый | Хеши файлов, пути, registry keys | EDR, Sysmon, журналы Windows | Высокая |
| Поведенческий | Аномальные логоны, privilege escalation | SIEM, AD-логи (EventID 4672, 4768) | Средняя (требует baseline) |
| Артефактный | Scheduled tasks, WMI persistence | Autoruns, osquery, Velociraptor | Высокая |
Containment инцидента ИБ: изоляция заражённых хостов
Containment - баланс между «остановить распространение» и «не уничтожить доказательства». Containment и eradication перекрываются, но в первый час приоритет однозначный - остановить lateral movement.Краткосрочный vs долгосрочный containment
Краткосрочный containment - действия в первые 30-60 минут.EDR-изоляция - самый быстрый способ карантина скомпрометированного хоста. В CrowdStrike Falcon, Defender for Endpoint и SentinelOne функция network containment отрезает хост от всех сетевых соединений, кроме канала к консоли EDR. Можно продолжать собирать телеметрию, пока хост изолирован.
Нюанс, который не пишут в документации: в гибридной AD-среде с on-prem контроллерами изоляция хоста может сломать Kerberos-аутентификацию для зависимых сервисов. Если изолируете сервер, на который завязана бизнес-логика - сначала определите зависимости. Изолировать endpoint и изолировать сервис - две разные операции с разными последствиями.
Сетевая изоляция при атаке - VLAN-перемещение или ACL на коммутаторе. Применяется, когда EDR не установлен: legacy-системы, SCADA-контроллеры, принт-серверы, сетевое оборудование. Создаёте карантинный VLAN без маршрутизации в production и перемещаете порт скомпрометированного хоста туда. Хост остаётся доступен для форензики через выделенный jump host из карантинного сегмента.
Блокировка учётных записей. Если скомпрометированы credentials - немедленный сброс пароля и отзыв сессионных токенов. Для Active Directory:
Reset-AdAccountPassword + принудительный logoff. Для cloud-сервисов: отзыв OAuth-токенов через IdP.Долгосрочный containment наступает после стабилизации. Сюда входит: удаление persistence-механизмов (scheduled tasks, WMI subscriptions, registry run keys), реконфигурация firewall-правил для блокировки выявленных C2, усиленный мониторинг ранее незатронутых сегментов. Активные ransomware-группы - от SafePay до SilentRansomGroup, фигурирующие на DLS-площадках с десятками жертв - часто оставляют бэкдоры для повторного доступа. Eradication без поиска всех persistence-точек - приглашение к повторному визиту.
Внутренние угрозы и скомпрометированные легитимные хосты
Отдельная категория - когда источник угрозы это легитимный пользователь или его хост скомпрометирован через supply chain. Стандартный containment через EDR-изоляцию недостаточен: учётная запись может использоваться с нескольких устройств, и изоляция одного хоста не блокирует доступ.Incident response план для insider threat отличается принципиально:
- Блокировка учётной записи на уровне IdP или Active Directory - первое действие, до изоляции хоста
- Отзыв всех OAuth-токенов, VPN-сертификатов, API-ключей
- Аудит действий учётной записи за 30 дней (не 7 - insider threat развивается медленно)
- Проверка Data from Local System (T1005) - были ли массовые обращения к ресурсам за пределами обычного паттерна пользователя
Сохранение доказательств при инциденте: форензика при реагировании на инцидент
Цифровые доказательства - сбор и сохранение артефактов - то, что позволяет понять, как атакующий проник, что сделал и что ещё мог сделать. Без сохранённых артефактов postmortem превращается в гадание, а юридическая защита организации - в ноль.Порядок волатильности
Правило простое: сначала собираем то, что исчезнет при перезагрузке. Порядок - от самого летучего:- Содержимое оперативной памяти - процессы, сетевые соединения, расшифрованные данные, ключи шифрования в памяти
- Активные сетевые соединения - текущие TCP/UDP-сессии (
netstat -anobна Windows,ss -tulnpна Linux) - Запущенные процессы - дерево процессов с командными строками (через EDR или
wmic process get) - Содержимое диска - файловая система, registry, журналы событий, prefetch
- Внешние логи - SIEM, NetFlow, DNS-логи (хранятся отдельно, но могут ротироваться)
Код:
winpmem_mini_x64.exe memdump_%COMPUTERNAME%_%DATE%.raw
certutil -hashfile memdump_%COMPUTERNAME%_%DATE%.raw SHA256 > hash.txt$MFT, $LogFile, Prefetch, журналы событий Windows, registry hives (SAM, SYSTEM, SOFTWARE, NTUSER.DAT). Velociraptor позволяет собрать такой пакет удалённо с десятков хостов параллельно через hunt flow - и вот тут он по-настоящему раскрывается, потому что бегать с USB по этажам при 20 заражённых хостах никто не будет.Цепочка хранения доказательств
Chain of custody - документирование каждого действия с доказательствами. Без неё артефакты не имеют юридической силы при разборе инцидента с регулятором или в суде.Минимальный набор для каждого собранного артефакта:
- Hostname и IP-адрес источника
- Дата и время сбора в UTC
- ФИО аналитика, проводившего сбор
- Инструмент и его версия (WinPmem 4.0, FTK Imager 4.7.1)
- SHA256-хеш артефакта
- Место хранения (write-protected share, evidence locker)
- Кто имел доступ к артефакту после сбора
SOC реагирование на инциденты: detection-чеклист
Detection и triage неразделимы. Качество триажа напрямую зависит от того, какие правила корреляции работают в SIEM. Согласно NIST CSF v2.0 (RS.AN-01), уведомления от detection-систем должны расследоваться - но расследовать можно только то, что задетектировано.Правила корреляции: минимальный набор
Чеклист detection-правил, без которых триаж инцидента кибербезопасности слеп:Lateral movement. EventID 4624 (Type 3, Network Logon) в связке с EventID 5140 (Share Access) - один source IP обращается к пяти и более хостам за 10 минут. RDP-логоны (EventID 4624 Type 10) в нерабочее время. Детекция PsExec и
wmic process call create через Sysmon EventID 1 с характерными командными строками.Credential abuse. EventID 4768 (Kerberos TGT request) с аномальным объёмом от одного source - признак Kerberoasting. EventID 4672 (Special Privilege Logon) для учёток, не входящих в группу Domain Admins.
Data staging и exfiltration. Исходящий трафик >2x от baseline за один час. Запуск архиваторов (
rar.exe, 7z.exe) на рабочих станциях - признак Data Staged (T1074). DNS-запросы длиннее 50 символов - возможный DNS-tunneling.Отключение защиты. Остановка сервисов EDR, отключение Windows Defender через PowerShell, очистка журналов событий - прямое попадание в Impair Defenses (T1562). Этот алерт - один из самых надёжных индикаторов компрометации: легитимный пользователь никогда не останавливает EDR. Если видите такое - бросайте всё остальное и разбирайтесь с этим хостом.
YAML:
# Sigma-правило: детекция массового доступа к файловым шарам
# Адаптируйте threshold под свой baseline - у бэкап-сервера будет другая норма
title: Suspicious Mass Share Access
logsource:
product: windows
service: security
detection:
selection:
EventID: 5140
timeframe: 10m
condition: selection | count(ShareName) by SourceAddress > 10
level: highBaseline: без него все правила бесполезны
Алерт «EventID 5140 от 10.0.0.15, 47 обращений за 10 минут» ничего не говорит, если вы не знаете, что 10.0.0.15 - это backup-сервер, который каждую ночь сканирует шары. Или наоборот - рабочая станция бухгалтера, которая никогда раньше не обращалась к финансовому серверу.Baseline создаётся за 2-4 недели наблюдения в штатном режиме и обновляется ежеквартально. Без baseline половина алертов - ложные срабатывания, другая половина - пропущенные инциденты. Это фундамент, без которого никакой incident response план не работает.
Весь процесс реагирования на инциденты информационной безопасности - от триажа до preservation - строится не на героизме аналитика в 9:15 утра, а на подготовке: detection-правила отлажены и протестированы, forensic toolkit лежит на USB, playbook содержит конкретные команды (а не абстрактные «изолируйте затронутые системы»), и самое главное - decision matrix определяет полномочия каждого участника.
За три года в DFIR я разбирал десятки инцидентов, где технически всё было на месте: EDR стоял, SIEM работал, бэкапы лежали в S3 с версионированием. Проблема каждый раз оказывалась одной и той же. Аналитик получал алерт, видел подозрительный процесс - и вместо того чтобы за 15 минут прогнать decision tree и изолировать хост, тратил час на выяснение, нужно ли ему «разрешение» на изоляцию. К этому моменту lateral movement завершён, и containment превращается в погоню по всей инфраструктуре.
Самый недооценённый элемент incident response - не Sigma-правила и не Velociraptor, а чёткая decision matrix: кто имеет право нажать кнопку isolate без согласования, при каких условиях, и что происходит дальше. Пока у L2-аналитика нет полномочий изолировать хост в 9:17 утра без звонка руководителю - все playbook-ы останутся документом для аудита, а не рабочим инструментом. Если у вас в команде такая матрица не формализована - на codeby.net есть живой тред по IR-процедурам и decision tree для разных типов инцидентов.
