このセクションでは、アラートを調査するためのベスト プラクティスについて説明します。

次の項目を確認します。

• 優先度スコア
• 親パスと名前
• 関連する TTP
• ファイルのレピュテーション
• ネットワーク接続
• イベントの詳細
• コマンド ライン (ある場合)

次の質問をします。

• 別のプログラムや機能が正常に呼び出されましたか?
• ファイルのパスは疑わしいですか?
• プロセスは「正常」パスで実行されていますか?
• どの攻撃段階に入っていましたか?
• レジストリは変更されましたか?
• ファイルのレピュテーションが心配でしたか?

必要に応じて、他のステップを実行します。

• 認識されない Google アプリケーションやファイルがある
• チームメイトに見落としたものについての確認を求める
• 参照される MITRE 技術またはウォッチリストのヒットを確認する
• 「カスタム時間」を使用してイベントを発生の 15 分前に確認し、より多くの洞察を得る
• 確認されたアクティビティのより多くのコンテキストを確認