Verwenden Sie das Playbook zur Endpunkterkennung

  • Freigeben Version: Xanadu
  • Aktualisiert 1. August 2024
  • 3 Minuten Lesedauer

    • Verwenden Sie dieses Playbook, um Malware-Warnungen zu untersuchen, die auf einem Host oder Endpunkt ausgelöst werden. Die folgenden Schritte geben Ihnen einen Überblick über die Aktionen, Aufgaben und Subflows, die im Endpoint Detection-Playbook verfügbar sind.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_si.admin
    • flow_designer

    Stellen Sie sicher, dass Security Operations Spoke (sn_sec_spoke) installiert ist.

    Prozedur

    1. Wenn das Playbook ausgelöst wird und seine Ausführung beginnt, müssen Sie in Aktion 1 überprüfen, ob die Datei oder der Hash schädlich ist, indem Sie die Ergebnisse der Bedrohungssuche in SIR analysieren und Informationen von VirusTotal, WildFire, ThreatCrowd usw. sammeln.
    2. In Aktion 2 müssen Sie überprüfen, ob die Datei oder der Hash schädlich ist oder nicht.
    3. Führen Sie in Aktion 3 die folgenden Aktionen aus, wenn die Datei oder der Hash schädlich ist:
      1. In Aktion 4 müssen Sie die Anwendung oder den erkannten Prozess als Bedrohung identifizieren und Informationen über die Erkennungsgründe sammeln, um mit der sicheren Liste fortzufahren.
        Abbildung : 1. Playbook zur Endpunkterkennung
        Antwortaufgaben, um festzustellen, ob die Datei nicht schädlich ist.
      2. In Aktion 5 müssen Sie überprüfen, ob die Anwendung aus einer vertrauenswürdigen Quelle stammt (z. B. Microsoft, Adobe oder andere bekannte Softwareanbieter).
      3. Wenn die Anwendung in Aktion 6 aus einer vertrauenswürdigen Quelle stammt, müssen Sie Maßnahmen für die CrowdStrike Falcon-Warnungen ergreifen.
        Abbildung : 2. CrowdStrike Falcon-Warnungen
        Antwortaufgaben zum Ergreifen von Aktionen für CrowdStrike Falcon-Warnungen.
      4. Führen Sie in Aktion 7 die folgenden Aktionen aus:
        1. Navigieren zu CrowdStrike Falcon > Erkennungen Registerkarte
        2. Klicken Sie auf die CrowdStrike Falcon-Warnung.
        3. Klicken Sie auf der Registerkarte Ausführungsdetails unter Hash-Verhinderungsaktion auf Hash-Aktion bearbeiten.
        4. Führen Sie die erforderlichen Schritte aus.
          Hinweis:
          Wählen Sie die Option Nie blockieren mit Bedacht aus, da möglicherweise nur bestimmte Hosts die Anwendung mit einer gültigen geschäftlichen Begründung verwenden dürfen. Möglicherweise müssen jedoch zusätzliche Warnungen für andere Hosts eingerichtet werden.
      5. Wenn die Anwendung in Aktion 8 nicht aus einer vertrauenswürdigen Quelle stammt, müssen Sie auswählen, ob Sie die Datei oder die Anwendung lokal auf dem Gerät speichern möchten.
        Wenn Sie in Aktion 10 die Datei oder Anwendung lokal auf dem Gerät speichern möchten, führen Sie die folgenden Aktionen aus:
        1. Navigieren Sie in Aktion 11 zur Registerkarte Dateien in Quarantäne, und filtern Sie den Endpunkt, indem Sie nach dem Gerätenamen suchen.
        2. Wählen Sie die Datei aus, die lokal deaktiviert werden soll, und klicken Sie auf Freigeben.
          Hinweis:
          • Die Datei wird weiterhin an diesem spezifischen Endpunkt ausgeführt. Auf allen anderen Hosts erfolgen Erkennung und Quarantäne jedoch weiterhin.
          • Um die Massenfreigabe der Quarantänedatei auf mehreren Hosts durchzuführen, wählen Sie den entsprechenden Dateinamen und Status aus. Klicken Sie auf Auswählenund wählen Sie Releaseaus.

        Wenn Sie in Aktion 12 die Datei oder Anwendung nicht lokal auf dem Gerät speichern möchten, können Sie den Benutzer an den IT-Support umleiten, um die Installation der genehmigten Anwendungen anzufordern.

    4. Führen Sie in Aktion 14 die folgenden Aktionen aus, wenn die Datei oder der Hash nicht schädlich ist:
      1. In Aktion 15 müssen Sie basierend auf der Rolle des Anwenders (Abteilung oder Position, die mit vertraulichen Informationen umgeht), dem Typ der Anwendung (Ransomware, Rootkit usw.) und der Auswirkung bestimmen, ob die Datei/der Hash ein hohes Risiko oder ein geringes Risiko aufweist der Anwendung (wie viele Anwender waren betroffen).
      2. Wenn es sich bei der Datei um eine Datei mit hohem Risiko handelt, führen Sie in Aktion 16 die folgenden Aktionen aus:
        1. Überprüfen Sie in Aktion 17 die Ergebnisse mit dem Threat Intel-Team.
        2. Führen Sie in Aktion 18 den Malware-Byte-Scan für die Datei aus.
        3. Initiieren Sie in Aktion 19 die forensische Analyse.
        4. In Aktion 20 führen Sie basierend auf dem Ergebnis der forensischen Analyse eine Hostisolierung durch und entfernen die schädliche Datei/den schädlichen Hash.
        5. Wenn in Aktion 21 die Anwenderanmeldeinformationen gefährdet sind oder die Bedrohung nicht einfach entfernt werden kann, lösen Sie ein IT-Ticket aus, um die Anwenderanmeldeinformationen zurückzusetzen, oder erstellen Sie ein neues Image des Computers.
        6. Führen Sie in Aktion 22 die Isolierung des Hosts durch.
        Abbildung : 3. Datei mit hohem Risiko
        Antwortaufgaben, um zu bestimmen, ob es sich um eine Datei mit hohem Risiko handelt.
      3. Wenn es sich bei der Datei in Aktion 23 nicht um eine Datei mit hohem Risiko handelt, führen Sie die folgenden Aktionen aus:
        1. Navigieren zu CrowdStrike Falcon > Konfigurationen Registerkarte
        2. Navigieren Sie auf der Registerkarte Konfigurationen zu Verhinderungs-Hashes > > Upload-Hash > Fügen Sie den Hash hinzuan.
        3. Wählen Sie das erforderliche Betriebssystem und dann Immer blockierenaus.
    5. In Aktion 24 wird eine Antwortaufgabe erstellt, damit der Benutzer die Überprüfung nach dem Incident abschließen kann, bevor die Aufgabe geschlossen wird.