X
Come contenere un sistema infetto
Ciao. Il mio nome è Peter Ingebrigtsen. E oggi, siamo entrati in falcon.crowdstrike.com, o nell’interfaccia utente Falcon.
E quello che stiamo per fare è dare un’occhiata ad alcuni dei nostri sistemi e riconoscere che alcuni di essi sono attualmente sotto attacco o sono stati recentemente sotto attacco, e potrebbero essere stati compromessi. E vorremmo contenere quel sistema fino a quando non potremo raggiungerlo ulteriormente, metterci le mani sopra, e ottenere un po’ più di informazioni da esso, o semplicemente impedire che faccia più danni di quelli che ha già fatto.
Per fare questo, è necessario essere sulla vostra app Detections. Puoi farlo andando sul radar qui a sinistra. Se non lo sei già, o se la tua interfaccia utente non si apre quando accedi per la prima volta, vai lì. E poi seleziona le Rilevazioni recenti.
Quando si apre, noterai che puoi filtrare per qualsiasi numero di criteri, ma stiamo guardando alcuni degli eventi più recenti o situazioni che stanno accadendo. E noterete che la stessa singola macchina ha notato un sacco di scenari diversi con escalation di privilegi o exploit web. E queste gravità sono da alte a critiche.
E vorremmo entrare lì, forse fare qualcosa, dare un’occhiata più da vicino, e vedere se c’è qualcosa che dovremmo fare. Ovviamente, dovremmo fare qualcosa. E mentre iniziamo a scavare qui, vediamo che ci sono un sacco di modelli di rilevamento, sia che si tratti di malware conosciuti, furto di credenziali o exploit web. Possiamo vedere nell’albero del processo un sacco di comandi diversi che sono stati emessi che guardano a quell’escalation di privilegi che abbiamo notato in precedenza, o che iniziano a impostare il tutto.
Così, sappiamo che c’è qualcosa di brutto in corso, e ci piacerebbe agire subito. Quindi, quello che vogliamo fare è contenere la rete di questa macchina. Ma quello che voglio mostrarvi, inoltre, è che mentre lo facciamo – vado alla macchina stessa. E vorrei avviare un ping continuo in modo che possiate osservare il comportamento e quanto tempo impiega a rispondere a questo contenimento della rete.
Ora, mentre conteniamo questa macchina – o la togliamo dalla rete – non uccidiamo la connessione a CrowdStrike Cloud. Così, quando ci mettiamo le mani sopra – la puliamo, ci sentiamo a nostro agio nel rimetterla in rete – possiamo ancora operare o controllare quella macchina attraverso l’interfaccia utente che abbiamo qui.
L’altra cosa che vorrei fare è avviare un download di grandi dimensioni, in modo da iniziare con una singola connessione TCP – e si dà il caso che ce ne sia una in corso – al contrario del ping, dove ci possono essere più reset TCP o singoli thread TCP in corso ogni volta. In modo che possiate vedere che, mentre conteniamo questa macchina, la toglie letteralmente dalla rete.
Scusate il mio schermo, ma ho cambiato la risoluzione per YouTube e per scopi estetici.
Ma quando entro qui- e questo sarà proprio al centro dello schermo- questo dice effettivamente Device Actions. E vorrei contenerlo.
Ora, mentre lo facciamo, abbiamo alcune opzioni per fare alcune note. Contenuta da Peter. Minacce multiple osservate. Qualsiasi nota vogliate fare – e poi selezionate Contain.
Ora, nel momento in cui lo facciamo, sul lato sinistro, vedrete quanto velocemente ci vuole perché questo risponda. Così, immediatamente, quasi in tempo reale, vedete un fallimento della rete sul download, e il test ping o il ping continuo falliscono. Quindi, possiamo chiuderlo.
Ora, diciamo che siamo un paio di giorni dopo, questa macchina è pulita, pronta ad andare, e ad essere rimessa in rete. Puoi andare avanti e togliere il contenimento della rete, di nuovo, dall’interfaccia utente. Abbiamo ancora quella connessione alla macchina, anche se tutte le altre connessioni di rete sono state terminate.
Quindi, mentre lo facciamo, tutto bene. Disconnettiti. E noterete che quasi immediatamente quel ping inizia a sparare di nuovo.
Così, il contenimento della rete è un potente strumento che possiamo usare se vediamo qualcosa che agisce immediatamente o se vediamo qualcosa di recente nel passato, e vorremmo togliere quella macchina dalla rete – quasi in quarantena – in modo che non possa fare altri danni.
Così, questo è stato il contenimento della rete dei dispositivi di rete nella piattaforma Falcon Sensor User Interface. Grazie ancora per aver guardato.