5W2H

  1. What (O que aconteceu?)

    • Descrição do evento: tipo de movimentação, ação detectada, ou regra disparada.

  2. Why (Por que aconteceu?)

    • Causa raiz: vulnerabilidades exploradas, credenciais comprometidas ou comportamento anômalo.

  3. When (Quando aconteceu?)

    • Horário e frequência: ocorreu fora do horário padrão? Foi um evento isolado ou recorrente?

  4. Where (Onde aconteceu?)

    • Localização: IP de origem, sistemas ou recursos impactados.

  5. Who (Quem está envolvido?)

    • Usuário ou entidade responsável: conta interna, externa, ou ataque automatizado.

  6. How (Como aconteceu?)

    • Método de ataque ou movimentação: força bruta, phishing, acesso legítimo mal utilizado.

  7. How Much (Qual o impacto?)

    • Consequências: dados comprometidos, indisponibilidade de sistemas, ou outros riscos.

PreviousFerramentasNextShells

Last updated