📈 Escalation Decision Tree

Когда и как эскалировать инциденты на L2/L3

Обнаружена ли активная угроза?
✓ ДА
• Malware execution confirmed
• Active C2 communication
• Lateral movement detected
→ Немедленная эскалация на L2
✗ НЕТ
• Подозрительная активность
• Требует дополнительного анализа
• Нет явных IOC
→ Продолжить расследование
🎯
Затронуты ли критические системы?
🔴 Critical Assets
• Domain Controllers
• Payment systems
• Customer databases
→ P1/P2 эскалация
🟡 Important Systems
• Production servers
• Business applications
• Email infrastructure
→ P2/P3 эскалация
🟢 Standard Systems
• User workstations
• Test environments
• Non-critical services
→ P3/P4 или investigate
📊
Масштаб инцидента?
🌐 Широкий
• >10 затронутых систем
• Multiple departments
• Cross-site impact
→ Немедленная эскалация
📍 Локальный
• 2-10 систем
• Single department
• Contained spread
→ Оценить риск распространения
📌 Изолированный
• Single system
• No lateral movement
• User-specific issue
→ Может решить L1
🔍
Уверенность в анализе?
✅ Высокая
• Clear IOCs identified
• Known attack pattern
• Documented playbook exists
→ Следовать playbook
⚠️ Средняя
• Some indicators present
• Partially matches patterns
• Need expert validation
→ Консультация с L2
❌ Низкая
• Unknown behavior
• Complex attack chain
• No clear indicators
→ Эскалация для анализа

🚨 Матрица критичности инцидентов

P1 - Critical ⏱️ 15 min
  • Ransomware активно шифрует данные
  • Data breach с кражей PII/финансовых данных
  • Компрометация Domain Admin
  • Полный отказ критических сервисов
  • APT activity confirmed
Действие: Немедленно позвонить L2/L3, активировать IR team
P2 - High ⏱️ 30 min
  • Подозрение на ransomware (pre-encryption)
  • Privilege escalation detected
  • C2 communication established
  • Critical server compromise
  • Массовые failed logons (>1000)
Действие: Эскалация через ticketing system, уведомить L2
P3 - Medium ⏱️ 2 hours
  • Malware на некритической системе
  • Phishing campaign (limited scope)
  • Suspicious process execution
  • Unauthorized software installation
  • Policy violations
Действие: Investigate, contain если возможно, эскалировать при необходимости
P4 - Low ⏱️ 8 hours
  • False positive confirmed
  • Known benign activity
  • Informational alerts
  • User error/misconfiguration
  • Scheduled maintenance alerts
Действие: Document и close, tune detection rules если нужно

🎯 Критерии для немедленной эскалации

🔴 Технические индикаторы
  • Выполнение известного malware (Mimikatz, Cobalt Strike)
  • Lateral movement между системами
  • Массовое удаление логов или shadow copies
  • Изменения в критических файлах ОС
  • Новые admin accounts или изменение прав
  • Обнаружение web shells
🟡 Поведенческие индикаторы
  • Необычная активность в нерабочее время
  • Доступ к системам вне обычной роли
  • Массовое копирование/архивирование данных
  • Использование редко применяемых инструментов
  • Подключения из необычных геолокаций
  • Обход security controls
🔵 Бизнес-индикаторы
  • Влияние на revenue-generating системы
  • Риск регуляторных штрафов (GDPR, PCI)
  • Потенциальный PR/репутационный ущерб
  • Затронуты VIP пользователи (C-level)
  • Влияние на критические бизнес-процессы
  • Third-party/supply chain impact
⚪ Когда НЕ эскалировать
  • Известные false positives в вашей среде
  • Scheduled/authorized activities
  • Duplicate alerts (уже работают)
  • Test/dev environment alerts
  • User-resolvable issues (password reset)
  • Informational logs без risk

📞 Шаблоны коммуникации при эскалации

🚨 P1/P2 Phone Escalation Script
"This is [Your Name] from L1 SOC.
I need to escalate a [P1/P2] incident.

Alert: [Alert Name/ID]
Time: [Detection Time]
Affected: [Systems/Users Count]
Impact: [Business Impact]

What I've observed:
[Key Finding 1]
[Key Finding 2]
[Key Finding 3]

Actions taken:
[Containment steps if any]
[Evidence collected]

Ticket #: [Ticket Number]"
📧 Email Escalation Template
Subject: [P2/P3] Escalation: [Brief Description] - Ticket #[Number]

Priority: [P1/P2/P3]
Incident Time: [UTC Time]
Detection Source: [SIEM/EDR/User Report]

Executive Summary:
[2-3 sentences describing the incident and impact]

Technical Details:
• Affected Systems: [Hostnames/IPs]
• IOCs Identified: [Hashes/IPs/Domains]
• Attack Vector: [Phishing/Exploit/etc]

Timeline:
[Time] - Initial detection
[Time] - Confirmation of threat
[Time] - Containment initiated

Current Status:
[What's been done and current state]

Assistance Required:
[Specific help needed from L2/L3]

Attachments:
• Screenshots
• Log exports
• IOC list
💬 Slack/Teams Quick Escalation
@[L2-oncall] 🚨 [P1/P2] Alert

What: [Brief description]
Where: [Affected systems]
When: [Time]
Impact: [Business impact]

Ticket: [Link to ticket]
Need immediate assistance with [specific ask]