Постановка задачи: сегодня одной из важных проблем информационной безопасности для организаций является рост числа успешных социоинженерных атак. Существенной особенностью таких атак является сложность расследования инцидентов, связанных с ними. В настоящее время уже существуют методы расследования инцидентов информационной безопасности, произошедших за счет использования злоумышленником программно-технических уязвимостей, однако аналогичных широко используемых инструментов в случае инцидентов, связанных с социоинженерными атаками, не имеется. Целью работы является усовершенствование инструментария расследования инцидентов информационной безопасности за счет разработки подходов наибольшего правдоподобия, направленных на выявление сценариев (траекторий) развития социоинженерных атак и скомпрометированных пользователей информационных систем. В качестве используемых методов в статье выступают вероятностный подход к оценке степени уязвимости пользователей к социоинженерным атакам, графовая модель представления ин