主要观点：计算机网络防御的核心是调查，人类分析师通过接收异常信号并追寻证据来确定信息系统是否被突破，虽无正式化调查方法，但相关研究开始出现；丹尼尔·卡尼曼的双过程思维理论适用于信息安全，调查中分析师会先用直觉思维选择数据来源作为开场动作，本研究旨在确定分析师更可能使用的开场数据来源及该动作对调查速度的影响。
关键信息：

• 构建了目的调查模拟器，以重现调查环境，对不同技能水平的安全分析师分组进行实验。
• 实验组 A 收到 Suricata IDS 警报后，有多种数据来源可供调查，如全数据包捕获（PCAP）等，记录分析师的查询及时间等信息。
• 实验组 B 用 Bro 数据替换 PCAP 数据，其他数据来源不变。
• 实验组 C 为调查统计组，随机选取分析师询问其在一般调查场景下会首先查看的数据源。
• 结果显示实验组 A 中 72%分析师选择 PCAP 作为开场动作，MTTD 为 16 分钟，选择流数据和开源情报（OSINT）的 MTTD 分别为 10 分钟和 9 分钟；实验组 B 中 46%分析师选择 Bro 数据，MTTD 为 10 分钟等。
  重要细节：
• 调查模拟器以工具无关方式创建，可控制变量和加载场景，对分析师的人口统计信息进行收集并分组。
• 图表展示了不同组的开场动作选择和处置时间等情况。
• 讨论部分指出分析师倾向于高上下文数据来源但 PCAP 数据影响调查速度，观察和报告的开场动作存在差异及研究的局限性，如试验次数有限、存在选择偏差等。
• 结论认为更好组织的高上下文数据源有价值，应先从低上下文数据来源开始调查，有组织的高上下文数据源可用时应使用。