في عملية Incident response الوقت يعتبر عامل جدًا مهم في كل المراحل، على سبيل المثال الوقت من حدوث الحادثة الى وقت أكتشافها كل ماكان اقل كل ماكان افضل وكذلك من وقت اكتشاف الحادثة الى جمع وتحليل الادلة ايضًا كل ماكان اقل يكون افضل.
بالنقطة الأولى عملية اكتشاف الحادثة قد يأخذ وقت طويل جدًا ممكن من أسابيع الى اشهر الى سنوات
ولكن ممكن أننا نتفادى كل هذا بوجود logs الي نحتاجها تحت المراقبة بشكل دائم ووجود use cases تتناسب مع البئية الي نعمل فيها تغطي اشهر attack او تبني use cases ضد أشهر threat actors الي ممكن يستهدفون الشركة او use cases ممكن تغطي policy الخاصة بالشركة.
بالنقطة الثانية والي هي (من وقت اكتشاف الحادثة الى جمع وتحليل الأدلة) نقدر نقلل الوقت قدر الامكان في حال كان عندنا SIEM ولكن متأكدين بأن كل الأجهزة واللوقز الي قد نحتاجها Integrated مع SIEM بشكل المطلوب الي قد يحتاجة اي محلل والباقي يعتمد على المحلل.
قد يكون الSIEM موجود لكن فائدته قد لا تذكر لما تبينه بالشكل الخطا ويكون في logs كثيرة غير متوفرة وأغلب الأجهزة مش integrated بالشكل السليم أو حتى قد تكون مربوطة بالسم ولكن logs الي قد تحتاجها disabled فهنا راح يضيع وقت كثير ب عملية جمع الأدلة الي كان من الممكن ان نحصلها بسهولة.
نقطة أخيرة نسيت أذكرها وقت التحليل نفسه، ممكن أننا نقلل من الوقت هذا ب أننا نضع الأسئلة الصحيحة بالبداية قبل نبدأ التحليل تمامًا مثلًا نبدأ بهذي الأسئلة البسيطة
What, when, where, how, why هذي الاسئلة ممكن أنها توجهنا ل نقطة جيدة ممكن أننا نبدأ عملية التحليل فيها
What, when, where, how, why هذي الاسئلة ممكن أنها توجهنا ل نقطة جيدة ممكن أننا نبدأ عملية التحليل فيها
أنا شخصيًا وقعت بهذا الخطأ من قبل وضاع وقت كثير في عملية تحليل كان من الممكن أني استفيد منه بشي أخر والسبب ( ماعرفت احط السوال السليم وماعرفت النقطة الي ممكن أنتقل منها )
جاري تحميل الاقتراحات...