Compare network events with endpoint execution and application logs / Порівняння мережевих подій із журналами виконання кінцевих точок та програм

Use PCAP payloads or metadata to validate alert narratives where possible / Використання корисних навантажень або метаданих PCAP для перевірки описів сповіщень, де це можливо

Preserve raw exports and document any filtering or derived views / Збереження необроблених експортованих даних та документування будь-яких фільтрів або похідних представлень

Treat an alert title as sufficient proof of the full kill chain / Розгляд заголовків сповіщення як достатній доказ повного ланцюжка знищення

Align events by timestamp, source/destination, protocol, and asset role / Вирівнювання подій за міткою часу, джерелом/призначенням, протоколом та роллю активу

An HMI screenshot alone, without timestamps or supporting logs / Тільки знімок екрана HMI, без позначок часу чи супровідних журналів

PLC runtime logs, register/coil snapshots, and Modbus transaction evidence / Журнали виконання ПЛК, знімки регістрів/котушок та підтвердження транзакцій Modbus

PCAPs showing industrial-protocol reads or writes between relevant hosts / PCAP, що показують зчитування або запис за промисловим протоколом між відповідними хостами

HMI access/session logs and operator action records / Журнали доступу/сеансів HMI та записи дій оператора

Process simulator telemetry showing before/after state changes / Телеметрія симулятора процесу, що показує до/після змін стану

It is benign if the traffic is HTTP-like rather than encrypted / Це безпечно, якщо трафік є HTTP-подібним, а не зашифрованим

It should be correlated with process ancestry, URI patterns, timing, destination reputation, and follow-on activity / Це має бути пов'язано з походженням процесу, шаблонами URI, часом, репутацією місця призначення та подальшою активністю.

It should be ignored if the domain resembles a vendor service / Його слід ігнорувати, якщо домен схожий на послугу постачальника

It is suspicious only after the exact malware family is identified / Це підозріло лише після того, як буде визначено точне сімейство шкідливих програм.

It proves destructive OT intent by itself / Це саме по собі доводить руйнівний намір ОТ

Define what each organization can lawfully preserve, disclose, and escalate / Визначення, що кожна організація може законно зберігати, розкривати та передавати

Use targeted preservation and disclosure requests tied to specific accounts, timestamps, and indicators / Використання цільових запитів на збереження та розкриття інформації, пов'язані з конкретними обліковими записами, часовими позначками та індикаторами

Publish all unvalidated indicators immediately to force rapid community response / Негайна публікація всіх неперевірених показників, щоб спонукати спільноту до швидкого реагування

Keep prosecutors involved where provider returns may support criminal proceedings / Залучення прокурорів, якщо повернення постачальників послуг може сприяти кримінальному провадженню

Ask providers informally for all available customer data without process or scope / Неофіційний запит  у постачальників усіх доступних даних про клієнтів без урахування процесу чи обсягу

Protocol-specific checks, including industrial-protocol reachability, may be relevant even if no process change occurred / Перевірки, специфічні для протоколу, включаючи досяжність промислового протоколу, можуть бути актуальними, навіть якщо змін у процесі не відбулося.

Connection attempts to HMI, PLC, engineering, firewall, or simulator assets can indicate internal enumeration / Спроби підключення до ресурсів HMI, ПЛК, інженерних систем, брандмауера або симулятора можуть свідчити про внутрішнє перерахування.

Endpoint scripts, PCAPs, firewall records, and SIEM alerts should be correlated to reconstruct recon activity / Скрипти кінцевих точок, PCAP, записи брандмауера та сповіщення SIEM повинні бути взаємопов'язані для реконструкції активності розвідки.

Reconnaissance can be excluded from the timeline because it causes no direct process effect / Розвідку можна виключити з часової шкали, оскільки вона не має прямого впливу на процес.

A ping response alone proves compromise of the target system / Один лише запит ping доводить компрометацію цільової системи

Document uncertainty, conflicting evidence, and excluded hypotheses / Невизначеність документів, суперечливі докази та виключені гіпотези

Accept claimed physical effects if the attacker account appears technically informed / Прийняття заявлених фізичних ефектів, якщо обліковий запис зловмисника виглядає технічно підкованим

Separate service disruption, operator-visible abnormality, and attempted manipulation in findings / Окремі перебої в обслуговуванні, видимі оператором аномалії та спроба маніпулювання результатами

Compare network, endpoint, HMI, PLC, and process evidence before stating impact / Порівняння даних мережі, кінцевої точки, HMI, ПЛК та процесу, перш ніж констатувати вплив

Treat social media claims as investigative leads until corroborated / Розгляд заяви в соціальних мережах як слідчі зачіпки, доки вони не будуть підтверджені

Endpoint or VPN logs showing access from infrastructure unrelated to the contractor workplace / Журнали кінцевих точок або VPN, що показують доступ з інфраструктури, не пов'язаної з робочим місцем підрядника

Use of a legitimate contractor account automatically proves legitimate maintenance activity / Використання легітимного облікового запису підрядника автоматично доводить законність діяльності з технічного обслуговування

Successful authentication proves the user behind the session was authorized / Успішна автентифікація підтверджує, що користувач, який стоїть за сеансом, був авторизований

Provider or portal logs showing suspicious credential use or profile export / Журнали постачальника або порталу, що показують підозріле використання облікових даних або експорт профілю

Remote access outside the approved maintenance window / Віддалений доступ поза затвердженим періодом технічного обслуговування

Delay all containment until real-world attribution is confirmed / Відкласти всі обмеження до підтвердження реальної атрибуції

Coordinate early with the operator, SOC/CSIRT, law enforcement, and prosecutors as needed / За потреби, завчасно координувати дії з оператором, SOC/CSIRT, правоохоронними органами та прокурорами.

Preserve initial indicators, timestamps, and source references / Зберегти початкові індикатори, позначки часу та посилання на джерела

Validate the public claim against victim telemetry and operator observations / Підтвердити публічну заяву проти телеметрії жертви та спостережень оператора

Treat the public claim as proof of full process compromise / Розглянути публічну заяву як доказ повного компрометування процесу

Browser, download, cache, and authentication-related artifacts / Артефакти, пов'язані з браузером, завантаженням, кешем та автентифікацією

Only the files that match known malware signatures / Тільки файли, що відповідають відомим сигнатурам шкідливого програмного забезпечення

Filesystem timestamps and hashes for suspicious tools and scripts / Часові позначки та хеші файлової системи для підозрілих інструментів та скриптів

Shell history, recent files, staged scripts, and persistence locations / Історію оболонки, останні файли, проміжні скрипти та місця зберігання даних

Process listings and network connections / Списки процесів та мережеві підключення

Preserve network captures, logs, endpoint artifacts, and application/database evidence with hashes/ Збереження мережевих записів, журналів, артефактів кінцевих точок та даних про програми/бази даних за допомогою хешів

Record who collected each artifact, when, how, and from which source / Документування кожного, хто зібрав кожен артефакт, коли, як і з якого джерела

Minimize disruption to safety-critical or availability-sensitive OT processes / Мінімізація перебоїв у роботі критично важливих для безпеки або доступності процесів OT

Collect volatile evidence before rebooting, stopping services, or rebuilding systems where feasible / Збір змінних даних перед перезавантаженням, зупинкою служб або відновленням систем, де це можливо

Keep original evidence and derivative analysis products clearly separated / Чіткий розподіл оригінальних доказів та похідних продуктів аналізу