Il flusso di lavoro di analisi aiuta l'IR a indagare sugli eventi sospetti che hanno generato gli avvisi. Il flusso di lavoro di analisi visualizza i processi che hanno attivato l'avviso in base alla regola corrispondente. Il primo file che ha avviato la sequenza di eventi di sicurezza e i processi successivi vengono visualizzati in un flusso simile ad un albero comprimibile. Partendo dal primo processo/file, cliccando su un evento vengono visualizzati gli ulteriori eventi che si sono verificati e i dettagli corrispondenti. È possibile esplorare il flusso di processo fino all'ultimo evento verificatosi.
Gli screenshot seguenti mostrano, passo dopo passo, come un IR avvia l'analisi di un avviso.
- Innanzitutto l'IR apre il flusso di lavoro di analisi per un avviso cliccando sul cursore (evidenziato in un quadrato giallo) nell'angolo in alto a destra dell'avviso nel riquadro Dettagli. Il riquadro Dettagli si trova sotto la dashboard Avvisi.
- IR fa quindi clic sull'icona host QHPUNML7LP121 visualizzata sullo schermo.
- Il nome del file rundl32.exe viene visualizzato sullo schermo che ulteriormente led all'esecuzione di alcuni moduli.
- Per indagare ulteriormente, l'IR fa clic su rundl32.exe icona.
Sullo schermo viene visualizzato quanto segue:
— Conteggio dei moduli caricati dal rundl32.exe programmi host eseguibili e sfruttabili.
- Il basic informazioni per il processo rundl32.exe, vengono visualizzati l'ora di esecuzione, l'ora di inizio, l'ora di fine, il percorso, il conteggio MD5, il conteggio SHA, la riga di comando e il tipo di unità.
– Le informazioni binarie e i dettagli dell'endpoint, come nome utente, nome host e sistema operativo sull'host, vengono visualizzati nel riquadro di destra.
— Nel riquadro di destra vengono visualizzati i dettagli relativi al nome file e alla marca temporale dei 38 moduli caricati.
— Lo schermo mostra anche che il file rundl32.exe è stato caricato sul programma host sfruttabile nella memoria.
Questa analisi può essere seguita ulteriormente, fino all'ultima azione avviata dal processo allertato.