Dettagli dell'avviso
Riepilogo avviso
ID avviso: identificatore univoco per l'istanza di avviso.
Nome regola: indica la regola di rilevamento attivata (ad esempio, "evento di rete").
Description: Breve etichetta o tag associato all'avviso (ad esempio, "vittoria").
Nome incidente: etichetta di raggruppamento per avvisi correlati.
Creato il: timestamp in cui è stato generato l'avviso.
Fonte: origine dell'avviso (ad esempio, EDR).
Gravità: livello di rischio assegnato dal sistema (ad esempio, basso).
Assegnato a: analista o team responsabile del triage (potrebbe essere "Non assegnato").
MITRE TTP: Mapping alle tecniche MITRE ATT&CK (se applicabile).
Nome host: dispositivo in cui si è verificato l'evento.
Utenti: utente connesso al momento dell'evento (ad esempio, Administrator).
Cronologia degli eventi
La sezione cronologia fornisce una visualizzazione cronologica delle attività chiave associate all'avviso. Ad esempio:
14:21:04 – Evento di rete che coinvolge chrome.exe
Ciò potrebbe indicare traffico in uscita o in entrata avviato dal browser Chrome, che potrebbe essere innocuo o richiedere ulteriori controlli a seconda del contesto.
Azioni raccomandate
Esamina l'attività dell'host: controlla l'attività recente sull'host OPEAPTPWW090T per anomalie.
Convalida contesto utente: conferma se il Administrator si prevedeva che l'account fosse attivo.
Analizza il traffico di rete: utilizza l'acquisizione dei pacchetti o i registri di flusso per esaminare la natura dell'evento di rete di Chrome.
Assegnazione per il triage: se non è già stato assegnato, inoltrare l'avviso a un analista della sicurezza per la revisione.
Documentare i risultati: registrare eventuali osservazioni o decisioni nel sistema di monitoraggio degli incidenti.