Проанализировать дамп памяти по матрице MITRE ATT&CK и написать отчет
Задание - подготовить отчёт до 15.03.
Службой безопасности компании «Х» была зафиксирована подозрительная сетевая активность. Вам нужно проанализировать ситуацию, расследовать инцидент и найти следы активности атакующих. У вас есть дамп оперативной памяти и побитовая копия диска хоста, которые могут содержать информацию об инциденте. Вам нужно подготовить подробный отчёт о проведённом расследовании.Практические навыки:
работа с дампами оперативной памяти; работа с побитовыми копиями; анализ активности атакующих; восстановление техник и тактик атакующих; составление отчёта о криминалистическом исследовании.
Исходные данные:
дамп оперативной памяти; побитовая копия диска.
Задача
Составить подробный отчёт о проведённом расследовании. Он должен включать себя информацию, подкреплённую доказательствами в виде скриншотов:- обнаруженные следы атакующих;
- восстановление картины произошедшего инцидента в виде описания характеристики инцидента;
- маппинг действий атакующих по матрице MITRE ATT&CK;
- предложения по ликвидации последствий и восстановлению.
Пример структуры отчёта
- Характеристика инцидента.
- Описание инцидента по матрице MITRE ATT&CK.
2.1. Первоначальное проникновение (Initial Access).
2.2. ***************
2.3. ***************
2.*. ***************
2.*. *************** - Рекомендации по ликвидации последствий инцидента и восстановлению.
Виды документов для отчёта
- Характеристика инцидента — в виде текстового пояснения, описывающего ход инцидента, а также отражать действия атакующих на каждом из этапов без технических подробностей.
- Маппинг действий атакующих по матрице MITRE ATT&CK — в виде таблицы, отражающей соответствие тактики и техник, которые использовали атакующие в рамках исследуемого инцидента.
- указать технику;
- дать описание действиям атакующих и выполненным процедурам;
- подкрепить выводы скриншотами.
Дамп памяти скачать нужно здесь: https://clck.ru/39Ge3h
Пароль после выбора исполнителя.