X
Sådan inddæmmer du et inficeret system
Hej, der. Mit navn er Peter Ingebrigtsen. Og i dag er vi logget ind på falcon.crowdstrike.com, eller Falcon User Interface.
Og det, vi vil gøre, er at tage et kig på nogle af vores systemer og erkende, at nogle af dem enten i øjeblikket er under angreb eller for nylig har været under angreb, og at de måske er blevet kompromitteret. Og vi vil gerne inddæmme det system, indtil vi kan komme videre til det, få fat i det og få lidt flere oplysninger ud af det, eller bare forhindre det i at gøre mere skade, end det allerede har gjort.
For at gøre det, skal du være på din Detections-app. Det kan du gøre ved at gå til radaren her i venstre side. Hvis du ikke allerede er der, eller hvis din brugergrænseflade ikke åbner den, når du først logger ind, så gå derhen. Og så skal du bare vælge Seneste detektioner.
Når det åbnes, vil du bemærke, at du kan filtrere efter en række kriterier, men vi ser på nogle af de seneste begivenheder eller situationer, der er i gang. Og du vil bemærke, at den samme enkelte maskine har bemærket en masse forskellige scenarier med rettighedseskalering eller webeksploitationer. Og disse sværhedsgrader er høje til kritiske.
Og vi vil gerne logge ind der, måske gøre lidt, se lidt nærmere på det og se, om der er noget, vi bør gøre. Det er indlysende, at vi bør gøre noget. Og når vi begynder at grave os igennem her, kan vi se, at der er en masse detektionsmønstre, hvad enten det er kendt malware, tyveri af legitimationsoplysninger eller web-eksplosioner. Vi kan se i procestræet en masse forskellige kommandoer, der blev udstedt, som ser på den rettighedseskalering, som vi bemærkede tidligere – eller begynder at sætte den op.
Så vi ved, at der er noget slemt i gang, og vi vil gerne gribe ind med det samme. Så det, vi ønsker at gøre, er at netværksbegrænse denne maskine. Men det, jeg også vil vise dig, er, at mens vi gør dette – jeg vil gå til selve maskinen. Og jeg vil gerne starte en kontinuerlig ping, så du kan se adfærden, og hvor lang tid det tager at reagere på denne netværksinddæmning.
Nu, mens vi inddæmmer denne – eller tager denne maskine ud af netværket – dræber vi ikke forbindelsen til CrowdStrike Cloud. Så når vi får fingrene i den – vi rydder den op, vi føler os trygge ved at sætte den tilbage på netværket – kan vi stadig betjene eller styre den maskine via den brugergrænseflade, vi har her.
Den anden ting, jeg gerne vil gøre, er at starte en stor download, så vi starter med en enkelt TCP-forbindelse – og der er tilfældigvis en i gang – i modsætning til ping, hvor der kan være flere TCP-nulstillinger eller individuelle TCP-tråde, der går hver gang. Så du kan se, at når vi indeholder denne maskine, slår det den bogstaveligt talt bare ud af netværket.
Undskyld min skærm, men jeg har ændret opløsningen for YouTube og af hensyn til udseendet.
Men når jeg kommer ind her – og det vil være lige midt på skærmen – står der faktisk Device Actions. Og jeg vil gerne indeholde det.
Nu, mens vi gør det, har vi nogle muligheder for at lave nogle noter. Indesluttet af Peter. Flere trusler observeret. Uanset hvilke noter du vil lave – og vælg derefter Inddæmme.
Nu, i det øjeblik vi gør det, kan du se i venstre side, hvor hurtigt det tager at reagere. Så straks, næsten i realtid, ser du en netværksfejl på downloadet, og pingtesten – eller den kontinuerlige pingfejl. Så vi kan lukke den.
Så lad os sige, at vi er et par dage senere, at denne maskine er renset op og klar til at blive sat tilbage i netværket. Du kan gå videre og ophæve netværksinddæmningen, igen, fra brugergrænsefladen. Vi har stadig den forbindelse til maskinen, selv om alle de andre netværksforbindelser er blevet afbrudt.
Så, når vi gør det, er alt godt. Afbryd kontainering. Og du vil bemærke, at den ping næsten straks begynder at fyre op igen.
Så, netværksinddæmning er et kraftfuldt værktøj, som vi kan bruge, hvis vi ser noget, der straks tager handling, eller hvis vi ser noget for nylig i fortiden, og vi gerne vil få den maskine væk fra netværket – næsten i karantæne – så den ikke kan gøre mere skade.
Så, dette har været netværksinddæmning af netværksenheder i Falcon Sensor-brugergrænsefladeplatformen. Tak igen for at se med.