Question 1

Pourquoi faire cela après la réponse initiale à incident ?

Accepted Answer

Parce que le confinement et le nettoyage ne prouvent pas toujours que l'environnement est sain ; c'est l'étape finale de validation avant la reprise normale.

Question 2

Quelles menaces résiduelles recherchez-vous ?

Accepted Answer

Nous recherchons la persistance cachée, les comptes secondaires, les points d'appui pour mouvements latéraux, les hôtes oubliés et les signes d'une activité attaquante seulement partiellement supprimée.

Question 3

Qu'est-ce que cela réduit pour la direction ?

Accepted Answer

Cela réduit le risque de re-compromission, de reprise trop précoce et de décision métier fondée sur des éléments techniques incomplets.

Question 4

Qui doit exploiter les constats ?

Accepted Answer

La direction sécurité, les responsables d'incident et les responsables opérationnels les utilisent pour décider de reconnecter, d'élargir le périmètre ou de maintenir l'isolation des systèmes.

Réévaluation de compromission post-incident

Contexte

Questions fréquentes

Service recommandé

Threat Hunting