Sicuramente sì

Sicuramente no

L'evento dev'essere analizzato meglio

Sì

No

In ogni caso è malevola

In ogni caso non è malevola

Se l'utenza fosse differente sarebbe malevola

L'evento è sicuramente un falso positivo perché si tratta di installazione o aggiornamento drivers

L'evento non è malevolo in quanto l'IP di destinazione è stato rilevato per la prima volta 853 giorni fa

L'evento è sicuramente malevolo

Devo analizzare ulteriormente per capire se l'evento è malevolo oppure no

Usare una sandbox

Recuperare informazioni da Threat Intelligence (es. Cisco Talos, Shodan, ecc..)

Recuperare informazioni da Threat Intelligence (es. Cisco Talos, Shodan, ecc..) + Usare una Sandbox

Bisogna analizzare il cluster di threat intelligence, ottimizzando il parsing dei log attraverso un filtraggio euristico adattivo. Questo permetterebbe di isolare le anomalie semantiche nel flusso di dati, abilitando una correlazione proattiva degli eventi tramite un approccio di deep learning contestuale.

La connessione è sicuramente malevola

La connessione non è malevola perché si tratta di un servizio noto e ben conosciuto.

Ho bisogno di effettuare ulteriori analisi per indicare se si tratti di una connessione malevola o meno.

La connessione non è malevola perché il model breach ha uno score basso.

La connessione è sicuramente malevola

La connessione non è malevola

È necessaria un'analisi più approfondita per individuare la natura malevola o meno della connessione