Use o playbook de detecção de endpoint

  • Versão de lançamento: Washingtondc
  • Atualizado 1 de fev. de 2024
  • 3 min. de leitura

    • As etapas a seguir fornecem instruções sobre as ações, tarefas e subfluxos que estão disponíveis no playbook de detecção de endpoint.

    Antes de Iniciar

    Função necessária:
    • sn_si.admin
    • flow_designer

    Certifique-se de ter instalado o Security Operations Spoke (sn_sec_spoke).

    Procedimento

    1. Quando o playbook é acionado e começa a ser executado, na Etapa 1, você precisa verificar se o arquivo ou o hash é malicioso analisando os resultados da pesquisa de ameaças no SIR e coletando informações do VirusTotal, WildFire, ThreatCrowd etc.
    2. Na Etapa 2, você precisa verificar se o arquivo ou o hash é mal-intencionado ou não.
    3. Na Etapa 3, se o arquivo ou hash for mal-intencionado, execute as seguintes etapas:
      1. Na Etapa 4, você precisa identificar a aplicação ou o processo que está sendo detectado como uma ameaça e coletar informações sobre o motivo da detecção para prosseguir para a listagem segura.
        Figura 1. Playbook de detecção de endpoint
        Tarefas de resposta para determinar se o arquivo não é mal-intencionado.
      2. Na Etapa 5, você precisa verificar se a aplicação é de uma fonte confiável (por exemplo, Microsoft, Adobe ou outros fornecedores de software conhecidos).
      3. Na Etapa 6, se a aplicação for de uma fonte confiável, você precisará agir nos alertas do CrowdStrike Falcon.
        Figura 2. Alertas do CrowdStrike Falcon
        Tarefas de resposta para agir em alertas do CrowdStrike Falcon.
      4. Na Etapa 7, execute as seguintes etapas:
        1. Navegar até CrowdStrike Falcon > Detecções guia.
        2. Clique no alerta do CrowdStrike Falcon.
        3. Na guia Detalhes da execução, clique em Editar ação de hash em Ação de prevenção de hash.
        4. Execute as etapas necessárias.
          Nota:
          Escolha a opção Nunca bloquear com cuidado, pois somente determinados hosts podem ter permissão para usar a aplicação com uma justificativa de negócios válida. No entanto, alertas adicionais podem precisar ser configurados para outros hosts.
      5. Na Etapa 8, se a aplicação não for de uma fonte confiável, você precisará escolher se deseja dispensar o arquivo ou a aplicação do dispositivo localmente.
        Na Etapa 10, se você quiser dispensar o arquivo ou a aplicação do dispositivo localmente, execute as seguintes etapas:
        1. Na Etapa 11, navegue até a guia Arquivos em quarentena e filtre o endpoint pesquisando o nome do dispositivo.
        2. Selecione o arquivo que precisa ser suspenso localmente e clique em Liberar.
          Nota:
          • O arquivo ainda é executado neste endpoint específico. No entanto, a detecção e a quarentena continuam acontecendo em todos os outros hosts.
          • Para liberar em massa o arquivo de quarentena em vários hosts, selecione os nomes de arquivo e o status apropriados. Clique em Selecionare em Liberar.

        Na Etapa 12, se você não quiser dispensar o arquivo ou a aplicação do dispositivo localmente, poderá redirecionar o usuário para o suporte de TI para solicitar a instalação das aplicações aprovadas.

    4. Na Etapa 14, se o arquivo ou o hash não for malicioso, execute as seguintes etapas:
      1. Na Etapa 15, você precisa determinar se o arquivo/hash é de alto risco ou baixo risco com base na função do usuário (departamento ou cargo que lida com informações confidenciais), no tipo de aplicação (ransomware, root kit etc.) e no impacto da aplicação (quantos usuários foram afetados).
      2. Na Etapa 16, se o arquivo for de alto risco, execute as seguintes etapas:
        1. Na Etapa 17, revise os resultados com a equipe de informações sobre ameaças.
        2. Na Etapa 18, execute a verificação do Malwarebyte no arquivo.
        3. Na Etapa 19, inicie a Análise forense.
        4. Na etapa 20, com base no resultado da análise forense, execute o isolamento de host e remova o arquivo/hash mal-intencionado.
        5. Na Etapa 21, se as credenciais do usuário forem comprometidas ou a ameaça não puder ser removida facilmente, gere um tíquete de TI para redefinir as credenciais do usuário ou recriar a imagem da máquina conforme necessário.
        6. Na Etapa 22, execute o cancelamento do isolamento do host.
        Figura 3. Arquivo de alto risco
        Tarefas de resposta para determinar se é um arquivo de alto risco.
      3. Na Etapa 23, se o arquivo não for um arquivo de alto risco, execute as seguintes etapas:
        1. Navegar até CrowdStrike Falcon > Configurações guia.
        2. Na guia Configurações, navegue até Hashes de prevenção > > Carregar hash > Adicionar o hash.
        3. Escolha o SO necessário e selecione Sempre bloquear.
    5. Na Etapa 24, uma tarefa de resposta é criada para que o usuário conclua a revisão pós-incidente antes de fechar a tarefa.