Следи за шаблонами, а не за отдельными объектами. Обращай внимание на всё, что выходит за рамки привычного: странные интервалы, несопоставимые записи, или резкое падение активности там, где её быть должно. Используй многоуровневую систему обнаружения, чтобы, если один датчик даст сбой, другой подхватил. И всегда держи небольшую, но компетентную команду, которая будет перепроверять очевидное, пока оно не превратилось в проблему.

Обрати внимание на любые входы в систему или транзакции, которые происходят вне привычного времени – ну, скажем, с 11 вечера до 5 утра. Помечай любые IP-адреса, которые появляются в разных географических регионах за короткий промежуток времени. В логах следи за всплесками неудачных попыток авторизации, резким падением показаний датчиков и любыми изменениями учетных записей с расширенными правами доступа, которые не сопровождаются корректной заявкой на изменение. Это первые тревожные сигналы.

Поставь отслеживание на любые изменения файлов или реестра, которые происходят по неожиданному графику, на большие дампы данных с внутренних серверов и на новые сервисы, появляющиеся на сетевых машинах. И следи за аккаунтами, которым дают новые права доступа без веских оснований. Эти небольшие изменения часто указывают на дальнейшие шаги.

Проверь, пожалуйста, быстро, как меняется трафик — если какой-то узел вдруг начнёт обрабатывать вдвое больше пакетов, чем обычно, на пару минут, это может быть засада. И следи за обновлениями, не пропускай ни одного — это как открытая дверь для злоумышленников. Всё, я закончила.