RT-RETRO
Решаемая задача:
Установление фактов компрометации ИТ-активов и устранение последствий реализации угроз ИБ и атак злоумышленников

Услуга включает:

поиск индикаторов компрометации на файловой системе, в памяти процессов
сбор и анализ событий, ранее зарегистрированных информационными системами и СЗИ
корреляция данных различных источников с целью выявления инцидентов ИБ
форензика (расследование) выявленных инцидентов ИБ
формирование рекомендаций администраторам по реагированию и устранению уязвимостей инфраструктуры
Этапы проведения услуги:
1
Определите списка наиболее критических и подверженных вредоносным действиям хостов. Это контроллеры домена, северы dmz, компьютеры администраторов, компьютеры с наибольшим числом сработое антивируса и тд
2
На данном списке производится централизованный запуск инструмента сбора данных и сигнатурного сканирования
3
Далее собранные данные проходят нормализацию и обогащение с помощью данных TI портала и помещаются в единую базу данных
4
Путем дальнейшего анализа данных производится их корреляция и построение таймлайнов обнаруженных инцидентов
5
Заказчику представляется отчёт, который содержит все обнаруженные инциденты ИБ. Таким образом, он получает "срез" состояния ИБ своей инфраструктуры, таймлайны атак, произошедших ранее и рекомендации по реагированию на действующие, активные угрозы