Въпреки изобилието от телеметрия, с която разполагат анализаторите, много екипи за сигурност се затрудняват да отговорят на няколко основни въпроса по време на разследване на инциденти: Какво се случи? Какви доказателства имаме? Как да сме сигурни, че виждаме всичко в контекст?
Отговорът на тези въпроси изисква от екипите да отидат отвъд предупрежденията (alerts), които са най-честата основа за първоначален триаж. Но разследванията (и техните резултати)...