Investigation Template

SOC Investigation Template (EDR / CrowdStrike Falcon)

1. Informações gerais do alerta

ID do alerta:
Data/Hora:
Severidade: (Low / Medium / High / Critical)
Status: (New / In Progress / Closed)
Fonte: (Falcon, SIEM, etc.)

2. Contexto do endpoint

Hostname:
Tipo: (Server / Workstation)
Sistema operacional:
IP interno/externo:
Localização (se aplicável):
Criticalidade do ativo: (Baixa / Média / Alta)

3. Usuário envolvido

Usuário:
Tipo: (Comum / Admin / Service Account)
Privilégios:
Atividade esperada para esse usuário? (Sim/Não + detalhes)

4. Detalhes da detecção

Nome da detecção:
Descrição:
MITRE Tactic/Technique: (ex: Execution / Persistence — MITRE ATT&CK)
Falcon ação: (Blocked / Detected / Prevented)
Processo principal:
Command line:
Hash (SHA256):

5. Análise de processo (Process Tree)

Parent process:
Child process(es):
Comportamento suspeito? (Sim/Não + explicação)

6. Análise de rede

Conexões externas detectadas? (Sim/Não)
IPs envolvidos:
Domínios/URLs:
País de destino:
Possível C2? (Sim/Não)

7. Threat Intelligence / OSINT

Hash verificado? (Sim/Não)
Reputação: (Malicioso / Suspeito / Limpo)
Fontes consultadas: (ex: VirusTotal, etc.)
Relacionamento com grupos conhecidos?

8. Estado atual da ameaça

Processo ainda ativo? (Sim/Não)
Persistência identificada? (Sim/Não)
Movimento lateral? (Sim/Não)
Outros endpoints afetados?

9. Ações tomadas

10. Classificação final

Tipo: (True Positive / False Positive / Benign True Positive)
Impacto: (Baixo / Médio / Alto / Crítico)
Escopo: (1 máquina / múltiplas / domínio)

11. Conclusão da análise

Resumo claro do que aconteceu:

(Ex: Execução de PowerShell suspeito via documento Word, sem evidência de persistência. Bloqueado automaticamente pelo Falcon. Sem impacto adicional.)

12. Próximos passos / recomendações

Hardening necessário?
Ajuste de regra/detecção?
Treinamento de usuário?
Monitoramento adicional?

PreviousSandbox & Blocking Actions NextExtras

Last updated 11 days ago