Vítejte v CrowdStrike Falcon

X

Jak zadržet infikovaný systém

Ahoj. Jmenuji se Peter Ingebrigtsen. A dnes jsme se přihlásili na stránku falcon.crowdstrike.com neboli do uživatelského rozhraní Falcon.

A to, co uděláme, je, že se podíváme na některé naše systémy a poznáme, že některé z nich jsou v současné době napadeny nebo byly nedávno napadeny a mohly být kompromitovány. A rádi bychom tento systém zadrželi, dokud se k němu nebudeme moci dále dostat, dostat se k němu a získat z něj trochu více informací, nebo jen zabránit tomu, aby napáchal více škody, než už napáchal.

Abyste to mohli udělat, musíte být v aplikaci Detekce. To můžete udělat tak, že přejdete na radar zde na levé straně. Pokud tam ještě nejste nebo pokud se vám to v uživatelském rozhraní neotevře při prvním přihlášení, zamiřte tam. A pak stačí vybrat položku Nedávné detekce.

Když se otevře, všimněte si, že můžete filtrovat podle libovolného počtu kritérií, ale my se díváme na některé z nedávných událostí nebo situací, které se dějí. A všimnete si, že stejný jediný počítač zaznamenal mnoho různých scénářů se zvýšením oprávnění nebo zneužitím webu. A tyto závažnosti jsou vysoké až kritické.

A my bychom se tam chtěli přihlásit, možná něco udělat, podívat se na to trochu blíže a zjistit, jestli bychom měli něco udělat. Je zřejmé, že bychom měli něco udělat. A když to tu začneme procházet, vidíme, že je tu spousta detekčních vzorů, ať už jde o známý malware, krádeže pověření nebo webové exploity. Ve stromu procesů vidíme spoustu různých příkazů, které byly vydány a které se zabývají tím zvýšením oprávnění, kterého jsme si všimli dříve – nebo ho začínají nastavovat.

Takže víme, že se děje něco špatného, a rádi bychom okamžitě podnikli kroky. Takže to, co chceme udělat, je zadržet tento počítač v síti. Ale chci vám také ukázat, že když to uděláme – přejdu k samotnému stroji. A chtěl bych spustit nepřetržitý ping, abyste mohli sledovat jeho chování a dobu, za jakou zareaguje na toto omezení sítě.

Nyní, zatímco omezujeme tento – nebo vyřazujeme tento stroj ze sítě – nezrušíme spojení s CrowdStrike Cloud. Takže jakmile se k němu dostaneme – vyčistíme ho, cítíme se pohodlně, že ho můžeme vrátit do sítě – můžeme tento stroj stále ovládat nebo kontrolovat prostřednictvím uživatelského rozhraní, které zde máme.

Další věc, kterou bych chtěl udělat, je spustit velké stahování, abychom zahájili s jediným spojením TCP – a náhodou je jedno v procesu – na rozdíl od pingu, kde může být pokaždé několik resetů TCP nebo jednotlivých vláken TCP. Abyste viděli, že jakmile tento stroj omezíme, doslova ho to vyřadí ze sítě.

Omluvte mou obrazovku, ale změnil jsem rozlišení kvůli YouTube a kvůli vzhledu.

Ale jakmile sem přijdu – a bude to přesně uprostřed obrazovky -, je tu vlastně napsáno Device Actions. A chtěl bych ji obsahovat.

Nyní, když to uděláme, máme několik možností, jak udělat nějaké poznámky. Obsahuje je Petr. Zaznamenáno více hrozeb. Jakékoli poznámky si přejete udělat- a pak vyberte možnost Contain.
Nyní, jakmile to uděláme, na levé straně uvidíte, jak rychle to trvá, než to zareaguje. Takže okamžitě, téměř v reálném čase, vidíte selhání sítě při stahování a selhání testu ping- nebo průběžného pingu. Takže to můžeme uzavřít.

Teď řekněme, že jsme o pár dní později, tento počítač je vyčištěný, připravený k provozu a k opětovnému zapojení do sítě. Můžete pokračovat a zrušit uzavření sítě, opět z uživatelského rozhraní. Stále máme toto připojení ke stroji, i když všechna ostatní síťová připojení byla ukončena.

Takže, jak to uděláme, vše v pořádku. Odpojení. A všimněte si, že téměř okamžitě začne tento ping opět fungovat.

Takže, zadržení sítě je mocný nástroj, který můžeme použít, pokud vidíme, že něco bezprostředně podniká akci, nebo pokud jsme viděli něco nedávno v minulosti, a rádi bychom tento stroj dostali ze sítě – téměř do karantény – aby nemohl napáchat další škody.

Takže, toto bylo zadržení sítě síťových zařízení v platformě uživatelského rozhraní Falcon Sensor. Ještě jednou děkujeme za sledování.

Napsat komentář