Мэдээллийн аюулгүй байдлын ажилтнууд тэр тусмаа Security operation center (SOC) болон DFIR (Digital Forensic and Incident Response) багынханд тулгардаг том асуудлын нэг "аль алерт нөгөөгөөсөө илүү чухал вэ?" хэрхэн алертаа эрэмбэлэх вэ? гэсэн асуулт нь нэн тэргүүнд анхаарах ёстой зүйлийн нэг юм.
Жишээлбэл, байгууллагын сүлжээний гадаад порт скан хийж байгаа хэн нэгний алертээс илүү mimikatz-г ашиглаж байгааг илрүүлсэн алертийг шалгах нь SOC-д илүү чухал байх ёстой.
Хэрэв порт скан эхлээд хийгдэж, та алерт ирсэн хугацааны дарааллаар алертийг шалгаж байгаа бол mimikatz-г ашиглаж байгаа аюул заналхийлэгчийг зогсоож чадахгүй.
Та бүхэндээ алерт эрэмбэлэх матрицыг хүргэж байна.