Show:
Loggar & Telemetri
Threat Hunting
Incidenthantering
MITRE ATT&CK
Supply Chain & Cloud
100

En användare rapporterar att filer krypteras.

Vilken telemetrikälla vill du kontrollera först?

EDR event med fokus på filändringar.

100

Ett konto har blivit phishat.

Vad är första hunting-spåret?

Misstänkta inloggningar

100

När ska en incident eskaleras?

När en incident bedöms som P2 eller högre alternativt  när kundpåverkan, regulatorisk risk eller hot mot kritisk/viktig funktion inte kan uteslutas.

100

Phishing tillhör vilken taktik?

Initial Access

100

Vad står SBOM för?

Software Bill of Materials

200

Du misstänker PowerShell missbruk på en klient.

Vilken Windows logg ger bäst insyn i körda kommandon?

Microsoft-Windows-PowerShell/Operational
Event ID 4104 (PowerShell Script Block Logging)


200

Du misstänker OAuth-missbruk.

Vad letar du efter?

Nya applikationsgodkännanden (consent grants) i Entra.

200

Vem ansvarar för säkerhetskoordinering under en större incident?

Den som är ansvarig SIRT tillsammans med SIRT Manager.

200

Dumpning av LSASS tillhör vilken taktik?

Credential Access

200

Ett npm-paket börjar exfiltrera hemligheter.

Vilken attacktyp är detta?

Supply Chain Attack

300

En server kommunicerar med ett misstänkt IP.

Vilken loggkälla kan visa om DNS-anrop föregick anslutningen?

DNS loggar via DNS, Sysmon

300

En klient kontaktar samma IP var 60:e sekund.

Vilken aktivitet misstänker du?

Command & Control

300

En ransomware-incident pågår.

Vad är viktigast först?

Begränsa spridningen

300

Skadlig kod som startar automatiskt efter omstart.

Persistence

300

En angripare får commit-rättighet till ett internt GitLab-repo och ändrar .gitlab-ci.yml. Ändringen gör att pipelinen skriver ut eller skickar vidare känsliga variabler. Vilken typ av information är mest kritisk att kontrollera om den kan ha läckt?

CI/CD-secrets eller skyddade pipeline-variabler?

400

Du misstänker lateral rörelse via SMB.

Vilka Windows event är särskilt intressanta?

Event ID 4624 (Type 3) - Lyckad inloggning

ihop med

Event ID 5140 – A network share object was accessed


400

En användare har öppnat ett skadligt Office-dokument.

Vilken processkedja vill du leta efter?

Office → cmd/powershell

400

Vi har en incident och media börjar kontakta oss.

Vem ska uttala sig?

Vår utsedda kommunikationsfunktion

400

Användning av PsExec för förflyttning mellan servrar.

Lateral Movement

400

Efter en kritisk sårbarhet i ett tredjepartsbibliotek behöver ni snabbt ta reda på vilka interna system och applikationer som använder den berörda komponenten. Vilket underlag är mest användbart för att kunna göra den spårningen?

SBOM

500

Angriparen har sannolikt använt stulna Kerberos-biljetter.

Vilken telemetri är mest värdefull?

Kerberos-händelser i windows security logg.

4768 – TGT requested
4769 – TGS requested
4624 – Logon med Kerberos på målhost

500

Du tror att en angripare använder Living-off-the-Land.

Vilka verktyg är typiska?

PowerShell, psexec, WMI, rundll32, regsvr32, certutil

500

En incident påverkar en kritisk verksamhetsfunktion.

Vilken funktion ska aktiveras?

Krisledning

500

Stöld av data till extern molntjänst.

Exfiltration

500

Nämn fem kontroller som minskar risken för supply chain-attacker.

Paketproxy
SBOM
Paketskanning
Signeringskontroller
Cool-down på nya paketversioner