Кратко и по делу — чеклист детективного анализа, локализации и устранения инцидента (всплеск трафика к внешнему IP в нерабочее время).
1) Быстрая оценка (triage)
- Определить внешний IP/домен и период всплеска (просмотреть метаданные): последние $24$ часа, последние $7$ дней.
- Оценить риск: объём трафика, тип протокола, порт(ы), повторяемость (beacon vs bulk).
2) Сбор доказательств (preservation before changes)
- Захват трафика (pcap) на пограничных интерфейсах и на подозреваемых хостах — сохранить файл для форензики.
- Экспорт NetFlow/sFlow/IPFIX за заинтересованный период.
- Корреляция IDS/IPS-алертов (Snort/Suricata/Zeek) по временам и IP.
- Собрать логи: firewall/NAT, прокси/HTTP, DNS, DHCP, VPN, AD/Radius/SSO, почта, EDR/antivirus, syslog.
- Сделать снимок памяти и образ диска подозреваемых машин (если планируете форензику).
3) Быстрый анализ данных
- NetFlow: определить внутренние IP-источники по суммарному трафику к внешнему IP; сортировать по байтам/сессиям/временам.
- PCAP/IDS: смотреть протоколы, быстрый grep по SSL/SNI, HTTP host, URI, User-Agent, payload patterns.
- DNS: найти запросы к домену, частоту, ответы (A/AAAA/CNAME).
- AD/аутентификация: есть ли логины/успешные подключения с обнаруженных хостов в момент всплеска.
- EDR/AV: процессы, запущенные бинарники, запланированные задачи, автозагрузки, новые сервисы.
- Временная шкала (timeline): собрать события по таймстемпам для кореляции.
4) Локализация источника
- По NetFlow/pcap найти внутренний IP с пиком трафика к целевому внешнему IP.
- По ARP/switch CAM/логу DHCP сопоставить IP → MAC → порт коммутатора → физическое место/ВМ.
- Проверить связанные с этим хостом прокси/HTTP авторизации, аккаунты, процессы на endpoint.
- Проверить, есть ли смежные хосты с похожими паттернами (распространение).
5) Немедленная локализация и временное устранение (containment)
- Блокировать внешний IP/домен на фаерволе/IPS/Proxy (временно).
- Изолировать подозреваемый хост(ы) от сети (квизация VLAN / порт / отключение), оставить доступ для сбора артефактов.
- Если есть признаки компрометации учетных записей — сбросить/блокировать пароли с MFA, отозвать сессии.
6) Устранение (eradication) и восстановление
- Если подтверждена компрометация — собрать образ, затем переустановить/реимиджить хост из доверенного резервного образа.
- Удалить persistence (службы, Scheduled Tasks, автозагрузки), убрать вредоносные бинарники (только после снимков).
- Обновить ОС/ПО, закрыть уязвимости, применить жесткие правила firewall и EDR.
- Сменить скомпрометированные ключи/пароли, пролить токены/сертификаты при необходимости.
7) Подтверждение и мониторинг
- Включить мониторинг на IOC (IP, домен, хэши, характерные URI) и отслеживать отклик в течение контрольного периода ($7$–$30$ дней).
- Правки правил IDS/IPS, сигнатур EDR, блок-листов на perimeter.
8) Пост-инцидентные действия
- Корневой анализ причины: вектор входа (уязвимость, фишинг, скомпрометированная учётная запись).
- Обновить процедуры, восстановить логи и политики, провести обучение пользователей.
- Документировать уроки и закрыть план устранения (post‑mortem).
Полезные практические моменты (коротко)
- NetFlow быстро показывает «кто разговаривает с внешним IP»; pcap даёт «чем именно».
- IDS/Suricata/Zeek ускоряют поиск IOC и протокольных особенностей (SNI, HTTP host, SSL fingerprint).
- DHCP/switch CAM/CMDB/EDR — главный путь к сопоставлению IP → хост → пользователь.
- Всегда сначала сохранить данные для форензики, потом применять изоляцию/стерилизацию.
Если нужно — могу дать шаблон плейбука для конкретных команд и запросов в SIEM/NetFlow (tcpdump/tshark, zeek, nfdump, elasticsearch) для вашей инфраструктуры.