Utiliser le playbook de détection de point de terminaison

  • Rversion finale: Washingtondc
  • Mis à jour 1 févr. 2024
  • 3 minutes de lecture

    • Les étapes suivantes vous donnent un aperçu des actions, des tâches et des flux secondaires disponibles dans le playbook de détection de point de terminaison.

    Avant de commencer

    Rôle requis :
    • sn_si.admin
    • flow_designer

    Assurez-vous d’avoir installé le spoke Security Operations (sn_sec_spoke).

    Procédure

    1. Lorsque le playbook est déclenché et commence à s’exécuter, à l’étape 1, vous devez vérifier si le fichier ou le hachage est malveillant en analysant les résultats de la recherche de menaces dans SIR et en recueillant des informations auprès de VirusTotal, WildFire, ThreatCrowd, etc.
    2. À l’étape 2, vous devez vérifier si le fichier ou le hachage est malveillant ou non.
    3. À l’étape 3, si le fichier ou le hachage est malveillant, effectuez les étapes suivantes :
      1. À l’étape 4, vous devez identifier l’application ou le processus détecté comme une menace et recueillir des informations sur le raisonnement de détection pour poursuivre vers la liste sûre.
        Figure 1. Playbook de détection de point de terminaison
        Tâches de réponse pour déterminer si le fichier n’est pas malveillant.
      2. À l’étape 5, vous devez vérifier si l’application provient d’une source fiable (par exemple, Microsoft, Adobe ou d’autres fournisseurs de logiciels connus).
      3. À l’Étape 6, si l’application provient d’une source fiable, vous devez agir sur les alertes CrowdStrike Falcon.
        Figure 2. Alertes CrowdStrike Falcon
        Tâches de réponse pour effectuer une action sur les alertes CrowdStrike Falcon.
      4. À l’étape 7, procédez comme suit :
        1. Accédez à la CrowdStrike Falcon > Détections Onglet.
        2. Cliquez sur l’alerte CrowdStrike Falcon.
        3. Sous l’onglet Détails de l’exécution, cliquez sur Modifier l’action de hachage dans Action de prévention du hachage.
        4. Effectuez les étapes requises.
          Remarque :
          Choisissez l’option Ne jamais bloquer avec soin, car seuls certains hôtes peuvent être autorisés à utiliser l’application avec une justification commerciale valide. Toutefois, vous devrez peut-être configurer des alertes supplémentaires pour d’autres hôtes.
      5. À l’étape 8, si l’application ne provient pas d’une source fiable, vous devez choisir si vous souhaitez supprimer le fichier ou l’application de l’appareil localement.
        À l’étape 10, si vous souhaitez supprimer le fichier ou l’application de l’appareil localement, effectuez les étapes suivantes :
        1. À l’étape 11, accédez à l’onglet Fichiers en quarantaine et filtrez le point de terminaison en recherchant le nom de l’appareil.
        2. Sélectionnez le fichier qui doit faire l’objet d’une levée locale, puis cliquez sur Libérer.
          Remarque :
          • Le fichier s’exécute toujours sur ce point de terminaison spécifique. Toutefois, la détection et la mise en quarantaine continuent de se produire sur tous les autres hôtes.
          • Pour libérer en bloc le fichier de quarantaine sur plusieurs hôtes, sélectionnez les noms de fichiers et l’état appropriés. Cliquez sur Sélectionner, puis sur Libérer.

        À l’étape 12, si vous ne souhaitez pas supprimer le fichier ou l’application de l’appareil localement, vous pouvez rediriger l’utilisateur vers l’assistance informatique pour demander l’installation des applications approuvées.

    4. À l’étape 14, si le fichier ou le hachage n’est pas malveillant, effectuez les étapes suivantes :
      1. À l’étape 15, vous devez déterminer si le fichier/hachage présente un risque élevé ou faible en fonction du rôle de l’utilisateur (service ou poste qui traite des informations sensibles), du type d’application (rançongiciel, rootkit...) et de l’impact de l’application (combien d’utilisateurs ont été touchés).
      2. À l’étape 16, s’il s’agit d’un fichier à haut risque, procédez comme suit :
        1. À l’étape 17, examinez les résultats avec l’équipe Threat Intel.
        2. À l’étape 18, exécutez l’analyse Malwarebyte sur le fichier.
        3. À l’étape 19, lancez l’analyse médico-légale.
        4. À l’étape 20, en fonction du résultat de l’analyse médico-légale, procédez à l’isolement de l’hôte et supprimez le fichier/hachage malveillant.
        5. À l’étape 21, si les informations d’identification de l’utilisateur sont compromises ou si la menace ne peut pas être supprimée facilement, créez un ticket informatique pour réinitialiser les informations d’identification de l’utilisateur ou créer une nouvelle image de la machine selon les besoins.
        6. À l’étape 22, procédez à la désisolation de l’hôte.
        Figure 3. Fichier à haut risque
        Tâches de réponse pour déterminer s’il s’agit d’un fichier à haut risque.
      3. À l’étape 23, s’il ne s’agit pas d’un fichier à risque élevé, procédez comme suit :
        1. Accédez à la CrowdStrike Falcon > Configurations Onglet.
        2. Dans l’onglet Configurations, accédez à Hachages de prévention > > Charger le hachage > Ajouter le hachage.
        3. Choisissez le système d’exploitation requis, puis sélectionnez Toujours bloquer.
    5. À l’Étape 24, une tâche de réponse est créée pour que l’utilisateur termine la revue post-incident avant de fermer la tâche.