Loggar & Telemetri
En användare rapporterar att filer krypteras.
Vilken telemetrikälla vill du kontrollera först?
EDR event med fokus på filändringar.
Ett konto har blivit phishat.
Vad är första hunting-spåret?
Misstänkta inloggningar
När ska en incident eskaleras?
När en incident bedöms som P2 eller högre alternativt när kundpåverkan, regulatorisk risk eller hot mot kritisk/viktig funktion inte kan uteslutas.
Phishing tillhör vilken taktik?
Initial Access
Vad står SBOM för?
Software Bill of Materials
Du misstänker PowerShell missbruk på en klient.
Vilken Windows logg ger bäst insyn i körda kommandon?
Microsoft-Windows-PowerShell/Operational
Event ID 4104 (PowerShell Script Block Logging)
Du misstänker OAuth-missbruk.
Vad letar du efter?
Nya applikationsgodkännanden (consent grants) i Entra.
Vem ansvarar för säkerhetskoordinering under en större incident?
Den som är ansvarig SIRT tillsammans med SIRT Manager.
Dumpning av LSASS tillhör vilken taktik?
Credential Access
Ett npm-paket börjar exfiltrera hemligheter.
Vilken attacktyp är detta?
Supply Chain Attack
En server kommunicerar med ett misstänkt IP.
Vilken loggkälla kan visa om DNS-anrop föregick anslutningen?
DNS loggar via DNS, Sysmon
En klient kontaktar samma IP var 60:e sekund.
Vilken aktivitet misstänker du?
Command & Control
En ransomware-incident pågår.
Vad är viktigast först?
Begränsa spridningen
Skadlig kod som startar automatiskt efter omstart.
Persistence
En angripare får commit-rättighet till ett internt GitLab-repo och ändrar .gitlab-ci.yml. Ändringen gör att pipelinen skriver ut eller skickar vidare känsliga variabler. Vilken typ av information är mest kritisk att kontrollera om den kan ha läckt?
CI/CD-secrets eller skyddade pipeline-variabler?
Du misstänker lateral rörelse via SMB.
Vilka Windows event är särskilt intressanta?
Event ID 4624 (Type 3) - Lyckad inloggning
ihop med
Event ID 5140 – A network share object was accessed
En användare har öppnat ett skadligt Office-dokument.
Vilken processkedja vill du leta efter?
Office → cmd/powershell
Vi har en incident och media börjar kontakta oss.
Vem ska uttala sig?
Vår utsedda kommunikationsfunktion
Användning av PsExec för förflyttning mellan servrar.
Lateral Movement
Efter en kritisk sårbarhet i ett tredjepartsbibliotek behöver ni snabbt ta reda på vilka interna system och applikationer som använder den berörda komponenten. Vilket underlag är mest användbart för att kunna göra den spårningen?
SBOM
Angriparen har sannolikt använt stulna Kerberos-biljetter.
Vilken telemetri är mest värdefull?
Kerberos-händelser i windows security logg.
4768 – TGT requested
4769 – TGS requested
4624 – Logon med Kerberos på målhost
Du tror att en angripare använder Living-off-the-Land.
Vilka verktyg är typiska?
PowerShell, psexec, WMI, rundll32, regsvr32, certutil
En incident påverkar en kritisk verksamhetsfunktion.
Vilken funktion ska aktiveras?
Krisledning
Stöld av data till extern molntjänst.
Exfiltration
Nämn fem kontroller som minskar risken för supply chain-attacker.
Paketproxy
SBOM
Paketskanning
Signeringskontroller
Cool-down på nya paketversioner