EDR сработал через 40 минут — атакующий уже на трёх соседних машинах. Тикет закрыт, все довольны. Но разница между закрытым тикетом и закрытым инцидентом — это и есть threat hunting lateral movement.62 минуты — среднее время breakout по CrowdStrike 2025...
Threat hunting lateral movement: SIEM-запросы и поиск бокового перемещения во время инцидента
Источник: codeby.net