Prioritizace alertu (alert triage) je užitečná ve chvíli, kdy obdržíte alert s velmi omezeným kontextem. I jediná IP adresa může sloužit jako dobrý výchozí bod pro rychlou analýzu a posouzení, zda alertu věnovat větší pozornost. Logmanager to usnadňuje díky rychlému vyhledávání, přizpůsobení sloupců a plynulému rozšíření vyšetřování z jedné stopy na širší soubor souvisejících událostí.

Discover search screen in Logmanager used to investigate a suspicious IP address
Obr. 1: Obrazovka vyhledávání v Discover v Logmanageru použitá k vyšetřování podezřelé IP adresy.

1. Vyhledejte v Discover

Otevřete Discover a vyhledejte podezřelou IP adresu z alertu. Rozšiřte časový interval i mimo přesný čas alertu, abyste viděli, co se stalo před i po události, která alert spustila.

2. Přidejte kontextové sloupce

Přidejte užitečná pole, jako jsou usernameevent type a source device. To je užitečné, protože vám to umožní pochopit kontext každé události bez nutnosti otevírat jednotlivé řádky jeden po druhém.

Discover results in Logmanager with added username event type and device columns for suspicious IP analysis
Obr. 2: Výsledky v Discover v Logmanageru s přidanými sloupci username, event type a device pro analýzu podezřelé IP adresy.

3. Hledejte neúspěšné i úspěšné události

Zkontrolujte časovou osu z hlediska neúspěšných přihlášení, sondovací aktivity a následných úspěšných nebo aplikačních událostí. Sekvence neúspěšných pokusů následovaná validní aktivitou může naznačovat eskalaci rizika.

Suspicious IP event stream in Logmanager showing failed login attempts and other related activity
Obr. 3: Tok událostí podezřelé IP adresy v Logmanageru zobrazující neúspěšné pokusy o přihlášení a další související aktivitu.

4. Rozšiřte vyšetřování na související uživatele a systémy

Pokud se stejná IP adresa objevuje ve spojení s více uživatelskými jmény nebo zdrojovými systémy, pokračujte kontrolou těchto uživatelů, dalších souvisejících IP adres a jakékoli neobvyklé přístupové nebo privilegované aktivity s nimi spojené.