Reverse duck test Член нашего комьюнити - @eisenberg0163 написал небольшую статью на Хабр про альтернативный подход, который можно использовать для работы с ложными срабатываниями. Назвал это «обратным утиным тестом» (reverse duck test). Смысл простой: вместо того чтобы сразу искать признаки атаки, сначала проверяем, не является ли активность ожидаемой и нормальной. Если активность «выглядит как утка, плавает как утка и крякает как утка» — скорее всего, это не инцидент. В материале описал: · как именно проверяем три аспекта (ретроспектива, бизнес-логика, опрос пользователя); · где методику применять можно, а где — категорически нет; · почему важно не останавливаться на вердикте «FP», а дорабатывать правила. Статья скорее для практикующих аналитиков и тех, кто настраивает процессы в SOC. Ссылка: https://habr.com/ru/articles/1008430/