Последнее время то там, то тут слышишь про "Фиолетовые команды", видимо, "Красными" и\или "Синими" уже никого не удивишь 😁 Вот попался неплохой BOK по превращению "фиолетового движения" из ad-hoc в системную работу:
https://github.com/scythe-io/purple-team-exercise-framework

Читатели спрашивали про запись и слайды. Ловите!
https://youtu.be/jomLRu4UAjs?si=T0aPPv7Ph0Ow_8RT

Так и не удалось услышать ответа на простой вопрос: «Когда заканчивается расследование?», вроде, конкретный вопрос, требующий конкретного ответа. Возможно, расплывчивый ответ объясняется неправильным определением скоупа, а, может, я сам чего-то не понимаю, поправьте меня тогда в комментариях, я фанат обучения и всегда рад чему-то новому.

Вообще, расследование инцидента очень похоже на процесс работы с IoC-ами, который я описывал здесь: на вход нам подается инцидент, в нем есть поломанные системы, из этих систем мы средствами DFIRMA извлекаем IoC-и, затем эти IoC-и ищем по всей сети, находим новые поломанные системы, из них тоже извлекаем IoC-и, которые потом снова ищем везде и т.п. Расследование заканчивается, когда в результате поиска всех известных на данный момент IoC-ов (как извлеченных из систем в рамках данного расследования, так и найденных связанных во всем доступном TI) мы не находим новых систем из которых можно было бы извлечь новые IoC-и, поискать другие связанные в TI, и по ним поискать новые системы.

Кстати, для любителей чтения полезных книжек, ровно этот же, описанный мной, процесс расследования инцидента описан в замечательной, ставшей классикой, Incident Response Кевина Мандиа, с которой всем обязательно рекомендую ознакомиться!

#книги