73 подписчика
Кейс: Сброс информации на USB с ПК другого сотрудника.
⚠️Инцидент:
Сотрудники ИБ обратили внимание на оповещение по записям файлов на USB: были записаны важные данные в большом объеме.
⚡️Что делали дальше?
1. Пользователя, с чьего ПК осуществился данный инцидент, вызвали для объяснения, но выяснилось, что он к данному инциденту отношения не имеет.
2. Для дальнейшего разбирательства в ситуации посмотрели, где ещё было подключено устройство. Это позволило узнать, что до этого этот носитель часто подключался у сотрудника, чье рабочее место расположено рядом.
3. После просмотра данных по соседнему компьютеру и беседы с его пользователем выяснили, что данный сотрудник планировал увольнение и знал о том, что осуществляется автоматический сбор данных по событиям на ПК. Чтобы избежать санкций, а также забрать с собой информацию, сотрудник воспользовался ПК коллеги, а пароль от учетной записи банально подсмотрел.
🔥Как получилось обнаружить инцидент? Через настройку фильтров.
1) Выбираем "Тип события: Перехваченный файл" + Устройства — Тип устройства "Removable" — Пользователь. Устанавливаем факт записи файлов пользователем.
2) В линзе события выбираем интересующее нас событие и ниже в описании выбираем HardwareId нажатием. Так мы выбрали нужное USB устройство.
3) Далее убираем фильтры: пользователь, устройство: тип устройства и тип события. Это позволит просматривать факты использования именного этого устройства.
4) Создаем инструмент анализа: выбираем таблицу.
Первая колонка: "Агент: Компьютер". Вторая: "Пользователь: Полное имя". Третья: "Дата: День". Четвертая: "Устройство". Выбор меры сортировки делаем на "Количество событий".
Если было полезно, ставьте 🔥
1 минута
11 октября 2024