Omien järjestelmien havainnointi. Tietoturvapoikkeamien tunnistamiseen liittyvät prosessit sekä menetelmät.
Harjoituksen vuoksi tehdyssä lokianalyysissa tulee ilmi seikkoja, jotka aiheuttavat kumppaniyrityksen tietoturva-asiantuntijassa ihmetystä. Tarkempi lokianalyysi osoittaa, että organisaation verkkoon on tunkeuduttu jo vuotta aiemmin, ja hyökkääjät ovat hiljalleen keränneet ja siirtäneet omalle palvelimelleen organisaation tietoja, mm. henkilöstöön ja taloushallintoon liittyviä dokumentteja. Aktiivisia vastatoimia ei ole aloitettu, eikä hyökkääjä tiedä tulleensa havaituksi.
Soveltaminen
Skenaario soveltuu tietomurron alkutoimien suunnitteluun. Skenaariossa korostuvat hallittu ja suunniteltu vaste havaittuun vakavaan poikkeamaan. Skenaarion osana voidaan harjoitella viranomaisten kanssa toimimista aktiivisen hyökkäyksen torjunnassa.
Lisähaaste
Hyökkääjä havaitsee, että hänet on huomattu, ja alkaa tuhota yrityksen tietoja ja peittää jälkiään poistamalla lokitietoja ja käytettyjä tunkeutumistyökaluja.