Verwenden Sie das Endpunkterkennungs-Playbook

  • Freigeben Version: Washingtondc
  • Aktualisiert 1. Februar 2024
  • 3 Minuten Lesedauer

    • Die folgenden Schritte geben Ihnen eine Vorstellung der Aktionen, Aufgaben und Subflows, die im Endpunkterkennungs-Playbook verfügbar sind.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_si.admin
    • flow_designer

    Stellen Sie sicher, dass Sie Security Operations Spoke (sn_sec_spoke) installiert haben.

    Prozedur

    1. Wenn das Playbook ausgelöst wird und mit der Ausführung beginnt, müssen Sie in Schritt 1 überprüfen, ob die Datei oder der Hash böswillig ist, indem Sie die Ergebnisse der Bedrohungssuche in SIR analysieren und Informationen von VirusTotal, WildFire, ThreatCrowd usw. sammeln.
    2. In Schritt 2 müssen Sie überprüfen, ob die Datei oder der Hash böswillig ist oder nicht.
    3. Wenn die Datei oder der Hash in Schritt 3 schädlich ist, führen Sie die folgenden Schritte aus:
      1. In Schritt 4 müssen Sie die Anwendung oder den erkannten Prozess als Bedrohung identifizieren und Informationen über die Gründe für die Erkennung sammeln, um mit der sicheren Auflistung fortzufahren.
        Abbildung : 1. Endpunkterkennungs-Playbook
        Antwortaufgaben, um festzustellen, ob die Datei nicht schädlich ist.
      2. In Schritt 5 müssen Sie überprüfen, ob die Anwendung aus einer vertrauenswürdigen Quelle stammt (z. B. Microsoft, Adobe oder andere bekannte Softwareanbieter).
      3. Wenn die Anwendung in Schritt 6 aus einer vertrauenswürdigen Quelle stammt, müssen Sie Maßnahmen für die CrowdStrike Falcon-Warnungen ergreifen.
        Abbildung : 2. CrowdStrike Falcon-Warnungen
        Antwortaufgaben, um Aktionen für CrowdStrike Falcon-Warnungen durchzuführen.
      4. Führen Sie in Schritt 7 die folgenden Schritte aus:
        1. Navigieren zu CrowdStrike Falcon > Erkennungen Registerkarte.
        2. Klicken Sie auf die CrowdStrike Falcon-Warnung.
        3. Klicken Sie auf der Registerkarte Ausführungsdetails auf Hash-Aktion bearbeiten in Hash-Verhinderungsaktion.
        4. Führen Sie die erforderlichen Schritte aus.
          Hinweis:
          Wählen Sie die Option Nie blockieren mit Bedacht aus, da nur bestimmte Hosts die Anwendung mit einer gültigen geschäftlichen Begründung verwenden dürfen. Möglicherweise müssen jedoch zusätzliche Warnungen für andere Hosts eingerichtet werden.
      5. Wenn die Anwendung in Schritt 8 nicht aus einer vertrauenswürdigen Quelle stammt, müssen Sie auswählen, ob Sie lokal auf die Datei oder Anwendung auf dem Gerät verzichten möchten.
        Wenn Sie in Schritt 10 auf die Datei oder Anwendung auf dem Gerät lokal verzichten möchten, führen Sie die folgenden Schritte aus:
        1. Navigieren Sie in Schritt 11 zur Registerkarte Dateien in Quarantäne, und filtern Sie den Endpunkt, indem Sie nach dem Gerätenamen suchen.
        2. Wählen Sie die Datei aus, die lokal entfernt werden muss, und klicken Sie auf Release.
          Hinweis:
          • Die Datei wird weiterhin auf diesem spezifischen Endpunkt ausgeführt. Erkennung und Quarantäne erfolgen jedoch weiterhin auf allen anderen Hosts.
          • Um die Quarantänedatei auf mehreren Hosts in einem Massenvorgang freizugeben, wählen Sie die entsprechenden Dateinamen und Status aus. Klicken Sie auf Auswählenund dann auf Release.

        Wenn Sie in Schritt 12 nicht lokal auf dem Gerät auf die Datei oder Anwendung verzichten möchten, können Sie den Benutzer an den IT-Support umleiten, um die Installation der genehmigten Anwendungen anzufordern.

    4. Wenn die Datei oder der Hash in Schritt 14 nicht schädlich ist, führen Sie die folgenden Schritte aus:
      1. In Schritt 15 müssen Sie basierend auf der Rolle des Benutzers (Abteilung oder Position, die vertrauliche Informationen verarbeitet), dem Typ der Anwendung (Ransomware, Rootkit usw.) und den Auswirkungen bestimmen, ob die Datei/der Hash ein hohes oder niedriges Risiko aufweist der Anwendung (wie viele Anwender waren betroffen).
      2. Wenn es sich bei der Datei in Schritt 16 um eine Datei mit hohem Risiko handelt, führen Sie die folgenden Schritte aus:
        1. Überprüfen Sie in Schritt 17 die Ergebnisse mit dem Threat Intel-Team.
        2. Führen Sie in Schritt 18 den Malwarebyte-Scan für die Datei aus.
        3. Initiieren Sie in Schritt 19 die forensische Analyse.
        4. Führen Sie in Schritt 20 basierend auf dem Ergebnis der forensischen Analyse eine Hostisolierung durch, und entfernen Sie die schädliche Datei/den schädlichen Hash.
        5. Wenn in Schritt 21 die Benutzeranmeldeinformationen gefährdet sind oder die Bedrohung nicht einfach entfernt werden kann, lösen Sie ein IT-Ticket aus, um die Benutzeranmeldeinformationen zurückzusetzen, oder führen Sie ein erneutes Image des Computers durch.
        6. Führen Sie in Schritt 22 die Isolierung des Hosts durch.
        Abbildung : 3. Datei mit hohem Risiko
        Antwortaufgaben, um zu bestimmen, ob es sich um eine Datei mit hohem Risiko handelt.
      3. Wenn es sich bei der Datei in Schritt 23 nicht um eine Datei mit hohem Risiko handelt, führen Sie die folgenden Schritte aus:
        1. Navigieren zu CrowdStrike Falcon > Konfigurationen Registerkarte.
        2. Navigieren Sie auf der Registerkarte Konfigurationen zu Präventions-Hashes > > Hash hochladen > Fügen Sie den Hash hinzu.
        3. Wählen Sie das erforderliche Betriebssystem und dann Immer blockierenaus.
    5. In Schritt 24 wird eine Antwortaufgabe erstellt, damit der Benutzer die Überprüfung nach dem Incident abschließen kann, bevor die Aufgabe geschlossen wird.