Расследование инцидентов информационной безопасности пошагово — Контур.Эгида

В этой статье

Расследование инцидентов информационной безопасности пошагово

10 марта 2026

Расследование инцидентов ИБ — это практический процесс: быстро понять, что происходит, не дать атаке развиться, собрать доказательства, восстановить инфраструктуру и зафиксировать выводы в отчете. В этой статье разбираем пошаговое расследование киберинцидентов: от триажа до форензики и таймлайна кибератаки.

Фотография Максим Чеплиев Максим Чеплиев Менеджер продукта

Что такое расследование инцидентов ИБ

Расследование — часть реагирования на инциденты ИБ: вы подтверждаете факт нарушения безопасности, определяете масштаб, фиксируете доказательства, устраняете причину и возвращаете сервисы в безопасное состояние. В международных практиках это обычно описывается как цикл: подготовка → обнаружение и анализ → сдерживание/искоренение/восстановление → уроки.

Чтобы этот цикл работал, на старте важно отделить сигнал от подтвержденного инцидента. Большая часть входящих тревог — это события: алерты SIEM, аномалии в логах, жалобы пользователей. Они требуют проверки, но сами по себе ещё не означают компрометацию. Инцидент — это следующий уровень: когда у вас есть подтверждение нарушения политики безопасности, факта атаки или утечки.

Это различие нужно по двум причинам:

  1. управление ресурсами — события можно закрывать проверкой и тюнингом детектов, а инцидент требует CSIRT-процесса и действий по сдерживанию;
  2. качество доказательств и отчета — статус “инцидент” включает строгую фиксацию артефактов, таймлайн и оценку ущерба, потому что выводы будут использоваться для решений и (иногда) для регуляторов.

Классификация и триаж инцидентов

Триаж инцидента ИБ — это короткая процедура, которая помогает не утонуть в деталях в первые 30–60 минут. Вы не обязаны в этот момент понимать всё. Достаточно определить: это точно инцидент или пока событие; насколько критично; где границы; и какое минимальное сдерживание снизит риск прямо сейчас.

Удобнее всего стартовать с простого класса: что это больше похоже — компрометация учетной записи, вредоносное ПО, утечка, эксплуатация уязвимости, инсайдер, шифрование. Класс нужен не ради красивой классификации, а потому что от него зависит, какие логи и артефакты собирать первыми: в одном случае важнее VPN/AD и история входов, в другом — процессы и сетевые соединения на хосте, в третьем — каналы вывода данных и контекст файлов.

Дальше включается приоритет. В реальности команда выбирает приоритет по двум параметрам: что именно страдает (доступность, конфиденциальность, целостность) и насколько быстро ситуация может ухудшиться, активен ли атакующий сейчас, есть ли распространение, затронуты ли привилегии.

Таблица приоритизации, которой хватает в большинстве компаний

Приоритет Как выглядит на старте Что важно сделать быстро

P1

шифрование, массовая утечка, компрометация AD/админов

остановить развитие и сохранить ключевые артефакты

P2

подтвержденное ВПО на узле, подозрительная привилегированная активность, вероятная утечка

ограничить атакующего и понять масштаб

P3

фишинг без подтверждения компрометации, отдельные аномалии

быстро подтвердить/опровергнуть и снять риски

P4

сканирование, “шум”, одиночные события

улучшить детект и профилактику без эскалации

Цель хорошего триажа — быстро принять правильные первые решения и не уничтожить доказательства. Полная картина собирается позже.

Роли CSIRT в расследовании

Даже в небольшой компании роли должны быть понятны, иначе в критический момент все будут ждать друг друга.

  • Incident Commander — принимает решения и держит ритм: что делаем сейчас, что позже.
  • Аналитик IR/SOC — ведет анализ логов и формулирует гипотезы.
  • Форензик — отвечает за доказательства, криминалистику и корректный сбор артефактов.
  • ИТ/админы — выполняют изоляцию, изменения конфигураций, восстановление.
  • Юрист/комплаенс — включается, когда есть риск ПДн/договора/обязательных уведомлений.
  • Коммуникации — если нужен внешний/внутренний комментарий, привлечение пиара.

Этапы расследования киберинцидентов пошагово

База до инцидентов: анализ и организация процесса

Прежде чем писать IRM/IR playbook, нужно разложить основы: что для компании критично, какие системы и данные защищаем в первую очередь, кто за что отвечает, как принимаются решения и как эскалируем. Здесь же фиксируем, откуда берем события: какие логи собираем, где они хранятся, какие источники обязательны (AD/IdP, EDR, почта, прокси/VPN, критичные бизнес-системы), какие корреляции и пороги алертов считаем рабочими. Без этого плейбук получится “про всё” и не будет исполняться.

Подготовка плана реагирования IRM playbook

Playbook нужен ровно для того, чтобы в момент алерта не обсуждать “с чего начать”. Он отвечает на три вопроса:

  • какие признаки считаем инцидентом;
  • что делаем в первые 15 минут / 1 час / 1 день;
  • какие артефакты обязательно сохранить.

Минимальный набор playbook, который покрывает большинство ситуаций: компрометация учетки, утечка, ВПО, шифровальщик, инцидент у подрядчика.

Обнаружение и постановка задачи

Сигнал может прийти откуда угодно: SIEM, EDR, DLP, пользователь, партнер. В этот момент важнее всего сформулировать задачу так, чтобы команда работала синхронно.

Карточка инцидента (5 строк):

  • факты (что именно увидели);
  • что защищаем сейчас (какие активы/данные);
  • временной коридор (сколько часов/дней назад смотрим);
  • цель на ближайшие 2 часа (сдерживание / подтверждение / сбор доказательств);
  • менеджер расследования и канал связи.

Анализ и локализация инцидента

Анализ логов и сетевых артефактов

Самая частая ошибка — начинать с любимой системы. Правильнее идти по цепочке вопросов, потому что так вы быстрее строите таймлайн.

  1. Когда началось? первый симптом, первый алерт, первая аномалия.
  2. Кто действовал? учетные записи, токены, сервисные учетки, привилегии.
  3. Как вошли? почта, VPN, RDP, уязвимость, подрядчик.
  4. Что делали внутри? процессы, службы, планировщик, автозапуск, изменения политик.
  5. Был ли вывод данных? каналы, объем, направления, следы архивации/шифрования.

Здесь отдельно важны сетевые артефакты: DNS, прокси, VPN-логи, внешние соединения. Они часто дают более устойчивую картину, чем один конкретный хост, на котором атакующий мог подчистить следы.

Сбор доказательств кибератаки

В реагировании часто приходится действовать быстро: сначала закрывают самые большие риски (например, ограничивают доступ, изолируют хост, сбрасывают сессии), а уже потом разбираются в деталях. Поэтому ключевое — чтобы доказательная база не зависела от того, успели ли “снять слепок” руками. Это решают заранее настроенные системы логирования и централизованный сбор событий: они сохраняют нужные артефакты даже если систему уже восстановили или пересобрали.

Дальше правило простое: фиксировать, кто и когда делал изменения, и по возможности сохранять исходные данные в неизменном виде (образы, дампы, выгрузки логов, конфиги). Тогда отчет строится на артефактах, а не на воспоминаниях команды.

Временные журналы и сессии, которые перетираются быстро; контекст доступа (кто, откуда, чем); и цепочку “событие → действие → результат”, потому что начинают действовать до фиксации.

Сдерживание и искоренение угрозы

Локализация компьютерного инцидента

Локализация — это момент, когда вы перестаете наблюдать и начинаете управлять ситуацией. Её задача простая: остановить рост ущерба и выиграть время для разбора причин. Это не искоренение. Искоренение будет позже, когда станет понятен вектор и масштаб.

Главная ошибка на этом этапе — тянуть с действиями, пока атака продолжает развиваться, или рубить всё подряд и потерять следы. Рабочий принцип такой: ограничиваем ровно настолько, чтобы прекратить риск, и фиксируем ровно настолько, чтобы расследование не превратилось в гадание.

Признаки, что пора локализовать без пауз: активность продолжается сейчас (новые сессии, процессы, соединения), граница инцидента расширяется, затронуты привилегии и ключи. В этих сценариях время почти всегда против вас.

Локализация обычно начинается не с компьютера, а с доступа. Пока у атакующего живая сессия, токен, сервисная учетка или админские права, он не привязан к одной машине. Поэтому сначала стабилизируют плоскость идентичностей: завершают подозрительные сессии, временно блокируют скомпрометированные учётки, ограничивают административные входы, готовят ротацию ключей там, где это нужно. Следом режут канал управления: VPN, удаленный доступ, админские протоколы, чтобы сценарий не продолжался вширь. И только после этого точечно изолируют хосты и сегменты, где видна активность.

Чтобы не потерять расследуемость, перед активными изменениями полезно снять короткий срез: кто и откуда входил, какие сессии активны, какие внешние направления используются, что показывает EDR по процессам. Это занимает минуты, но потом превращается в каркас таймлайна и отчета. Если инцидент уровня P1 и счёт идёт на минуты, фиксируете то, что доступно сразу, и действуете жёстко — приоритетом становится остановка ущерба.

Хорошая локализация всегда выглядит приземленно: понятные ограничения, которые можно объяснить ИТ и затем честно описать в отчете по инциденту безопасности.

Форензика после атаки

Форензика начинается, когда локализация уже остановила рост ущерба. Её задача — не собрать всё подряд, а восстановить проверяемую картину: как вошли, как закрепились, как двигались по инфраструктуре и что сделали с данными или сервисами. Если на эти вопросы нет ответа, расследование обычно остается на уровне предположений.

Работу удобнее начинать с таймлайна. Он задает дисциплину: каждое утверждение должно иметь время и опору на лог или артефакт. Сначала собирается каркас: первый симптом, первое подтвержденное действие атакующего, моменты ограничений доступа, ключевые изменения в среде и восстановительные действия. Дальше детали уже встраиваются в этот каркас, а не живут отдельными кусками.

Первичный вход ищут по связке фактов, а не по одному индикатору. У вас должно появиться объяснение, откуда взялась сессия, процесс или доступ: почта, VPN, уязвимость, подрядчик, компрометация учетки. Если вы не можете показать цепочку до источника, вы пока нашли симптом, а не точку входа.

Следом проверяется закрепление. Это критично: именно закрепление делает инцидент повторяемым. После восстановления сервисов атакующий возвращается чаще всего не через старую дыру, а через оставленный механизм доступа. Поэтому форензика смотрит на типовые точки закрепления в вашей среде: задачи, службы, изменения политик и прав, новые ключи, правила в почте, доверенные устройства.

Движение по инфраструктуре разбирают как последовательность шагов с мотивом. Хорошая картина не выглядит как набор случайных событий: переходы объясняются целью — получить права, добраться до данных, отключить защиту, подготовить вывод или шифрование.

С ущербом важно не уходить в категоричность. Есть подтвержденное и есть вероятное. Подтверждение утечки обычно строится на сопоставлении двух линий: что читали и готовили на источнике, и что уходило по сети или через каналы обмена. Если DLP есть — проще. Если нет — собираете по сетевым логам и следам на хостах. Итогом должно стать понятное описание: какие категории данных могли быть затронуты, за какой период и через какие каналы, с указанием степени уверенности.

На выходе форензики нужны короткие, проверяемые выводы: подтвержденный вход, обнаруженное или не обнаруженное закрепление в проверенных местах, маршрут развития атаки, оценка ущерба с уровнем уверенности и список исправлений, которые закрывают причину, а не только последствия.

Технологии для расследования инцидентов

Инструменты не заменяют расследование, они задают скорость и качество фактов. В практике работает связка: SIEM собирает общую картину и таймлайн, EDR показывает поведение на узлах, DLP фиксирует линию данных и помогает с доказательствами вывода. Когда одного элемента нет, растут сроки и доля неопределенности.

SIEM расследование инцидентов

SIEM нужен для восстановления цепочки событий из разных источников и для сборки таймлайна в одном месте. Вы меньше тратите времени на ручной обход систем и быстрее переходите от симптомов к картине.

SIEM начинает приносить пользу при трех условиях. Первое — полнота: в него попадают входы и аутентификация, сетевые журналы, критичные сервисы, административные действия. Второе — сопоставимость: есть идентификаторы пользователей и хостов, по которым можно связать события. Третье — корректное время: без синхронизации таймлайн превращается в набор несостыковок.

EDR и XDR  в расследовании атак

EDR закрывает уровень конечной точки. Он помогает быстро подтвердить, что происходит на конкретной машине: показывает дерево процессов, связи, попытки закрепления. Через EDR удобно делать локализацию, изоляция узла часто дает быстрый эффект без влияния на остальную инфраструктуру.

В расследовании EDR особенно ценен как источник фактов для таймлайна: что запустилось, откуда пришло, куда подключалось, какие изменения внесло. Это экономит часы на ручной реконструкции.

Если EDR отвечает за “что произошло на хосте”, то XDR добавляет склейку событий на уровне нескольких доменов сразу — endpoint, сеть, почта, облако, идентичности. Это помогает быстрее собрать картину атаки, увидеть цепочку распространения и проверить, что инцидент не шире одной машины.

На практике EDR/XDR и DLP частично пересекаются по задачам расследования, но чаще закрывают разные классы инцидентов. EDR/XDR — про заражения, компрометацию, движение внутри сети. DLP — про данные: утечки, вынос, каналы передачи, действия пользователя и содержание. Вместе они дают более полный разбор, когда атака заканчивается работой с данными.

DLP анализ инцидентов

DLP важен в расследованиях утечек и внутренних инцидентов, потому что переводит разговор из предположений в доказательства: что именно пытались отправить или копировать, через какой канал, в каком объёме, с каким контекстом. Это упрощает оценку ущерба и снижает риск спорных выводов.

DLP также помогает выявлять нетипичное поведение: массовые операции с файлами, обход правил, рискованные сценарии работы с данными. Такие сигналы часто становятся основой расследования, когда внешний периметр спокоен, а проблема возникает внутри.

Восстановление после инцидента ИБ

Восстановление — это возврат сервисов в безопасное состояние. Критерий простой: повторение того же сценария становится существенно сложнее. Подъём из бэкапов без закрытия причины и без проверки закрепления обычно ведет к повтору.

Восстановление инфраструктуры после атаки

Восстановление включает три группы работ. Первая — устранение причины первичного входа: патч, настройка, закрытие уязвимого маршрута, корректировка конфигурации. Вторая — стабилизация доступа: ротация паролей, ключей, токенов, отзыв доверенных устройств, пересмотр прав, проверка сервисных учетных записей. Третья — поиск и удаление закрепления в тех местах, которые характерны для вашей среды.

В отчете важно фиксировать границы проверки: что именно проверено, какие зоны остаются под усиленным мониторингом, какие решения приняты по рискам.

Оценка ущерба от инцидента

Ущерб считают для приоритизации исправлений и для управленческих решений. Качественная оценка разделяет подтвержденное и вероятное. Подтвержденное — затронутые узлы, время простоя, фактические расходы, подтвержденный доступ к данным. Вероятное — выводы по косвенным признакам, с пометкой уровня уверенности.

Если затронуты персональные данные, в отчете отдельно описывают категории данных, период, предполагаемые каналы, внутренние процедуры, которые запускаются по этому типу инцидентов, и юридически значимые последствия в контуре ответственности компании.

Отчет по инциденту безопасности нужен не для архива. Он фиксирует факты, объясняет принятые решения, даёт основу для улучшений и снимает споры задним числом. Хороший отчет читается быстро, проверяется легко, помогает действовать дальше.

Таймлайн кибератаки в отчёте

Таймлайн — центральная часть. Он превращает расследование в последовательность событий, где каждое утверждение опирается на источник. Без таймлайна отчёт распадается на мнения. С таймлайном становится ясно, где был первый сигнал, где атака перешла в активную фазу, когда вы локализовали инцидент и что изменилось после ваших действий.

Таймлайн удобно вести прямо по ходу расследования. Тогда вы не восстанавливаете события по памяти, а накапливаете доказательную линию. В таймлайне важна не детализация ради детализации, важна связность: событие, источник, артефакт, действие, результат.

Шаблон таймлайна

Время Событие Источник Артефакт Действие команды

10:12

первый симптом

тикет или SIEM

ID алерта, лог

триаж, назначен приоритет

10:27

подтверждение активности

EDR

дерево процессов

изоляция узла

10:45

подозрительный вход

VPN или AD

запись входа

сброс сессий, блокировка учётки

11:10

проверка масштаба

SIEM

выборка событий

поиск соседних узлов

11:20

проверка вывода данных

DLP

карточка инцидента DLP: канал, пользователь, устройство, политика, метаданные/хеш

проверка каналов (почта/веб/USB/облако), временное ограничение канала/политика “блокировать”, фиксация кейса

11:35

подтверждение объёма и получателей

DLP + почта/прокси

лог отправки/загрузки, получатели/домены, URL/вложение

оценка объёма, список затронутых документов, уведомление владельца данных/ИБ

11:50

корреляция “кто-что-когда”

SIEM/XDR + DLP + EDR

таймлайн: логины, процессы, операции с файлами, сработки DLP

связка пользователя, хоста и канала вывода, уточнение пути данных

12:30

восстановление доступа

IAM

журнал изменений

ротация ключей, обновление правил

Время в таймлайне должно быть единообразным. Если источники живут в разных часовых поясах или с разной синхронизацией, это отмечают отдельно. Иначе последовательность будет выглядеть противоречиво даже при правильном расследовании.

Отчет по инциденту безопасности

Отчет должен иметь два уровня.

Первый уровень — краткий, для руководства и владельцев сервисов. Он отвечает на вопросы что произошло, что затронуто, что сделано, какой ущерб, что делаем дальше. В нём нет глубокой техники, в нём есть управленческая ясность.

Второй уровень — технический. Это приложение, где живут таймлайн, доказательства, артефакты, подтверждающие индикаторы, перечень затронутых систем и конкретные действия по сдерживанию, искоренению, восстановлению.

Структура, которая обычно работает:

Резюме

Один абзац фактов без оценок. Что случилось, когда обнаружили, какие системы затронуты.

Влияние

Что пострадало по доступности, конфиденциальности, целостности. Здесь же краткая оценка ущерба от инцидента ИБ. Если часть выводов вероятностная, это прямо помечают.

Причина и развитие
 

Как вошли, как закрепились, как развивалась атака по инфраструктуре. Этот раздел опирается на таймлайн и артефакты.

Сдерживание и восстановление

Что вы сделали, чтобы остановить риск, что сделали, чтобы вернуть инфраструктуру в безопасное состояние. Указывают ключевые решения по доступам, сегментации, ротации секретов.

Доказательства

Список источников логов и артефактов, где они хранятся, кто имеет доступ. Внутри отчёта достаточно ссылок на репозиторий расследования, а не копирования сырых логов в текст.

Дальнейшие меры

Список улучшений, привязанных к первопричине и к пробелам в контролях. Здесь важно избегать общих формулировок. Формат должен быть операциональным: что меняем, где, кто владелец, срок, критерий завершения.

Уроки и изменения процесса

Раздел уроков нужен, чтобы закрыть два класса проблем: технические и организационные.

Технические уроки почти всегда сводятся к логированию, правам доступа, сегментации, обновлениям, настройкам детекта. Организационные — к тому, как быстро собирается команда, как принимаются решения по локализации, как оформляется коммуникация, как ведётся журнал действий.

Полезная практика — завершать отчёт короткой фиксацией того, что изменится в playbook. Если playbook не меняется после инцидента, значит, инцидент не использован как источник улучшений.

Заключение

Начните с трёх вещей: утвердите IRM playbook на 5–7 типовых сценариев, проверьте, что ключевые логи реально собираются в одном месте, и заведите шаблон таймлайна для отчёта. Прогоните один учебный инцидент в команде и зафиксируйте, что сломалось в процессе — это даст больше пользы, чем ещё один документ.

Фотография Максим Чеплиев Максим Чеплиев Менеджер продукта
Узнайте, как сотрудники относятся к информационной безопасности и защищают ресурсы компании
Подписаться

Узнайте, как сотрудники относятся к информационной безопасности и защищают ресурсы компании
Пришлем ссылку на результаты исследований о человеческом факторе в ИБ на почту, которую вы указали
Подписаться