X
Wie man ein infiziertes System eindämmt
Hallo, Sie. Mein Name ist Peter Ingebrigtsen. Und heute haben wir uns in falcon.crowdstrike.com eingeloggt, oder in die Falcon-Benutzeroberfläche.
Und was wir jetzt tun werden, ist, einen Blick auf einige unserer Systeme zu werfen und zu erkennen, dass einige von ihnen entweder gerade angegriffen werden oder kürzlich angegriffen wurden und möglicherweise kompromittiert wurden. Und wir möchten dieses System so lange eindämmen, bis wir es in die Finger bekommen und etwas mehr Informationen aus ihm herausholen können, oder einfach nur verhindern, dass es noch mehr Schaden anrichtet, als es bereits getan hat.
Um das zu tun, müssen Sie sich in Ihrer Detections-App befinden. Sie können das tun, indem Sie hier auf der linken Seite zum Radar gehen. Wenn Sie das noch nicht getan haben, oder wenn Ihre Benutzeroberfläche das nicht öffnet, wenn Sie sich zum ersten Mal anmelden, gehen Sie dorthin. Und dann wählen Sie einfach die jüngsten Erkennungen aus.
Wenn sich das öffnet, werden Sie feststellen, dass Sie nach einer beliebigen Anzahl von Kriterien filtern können, aber wir sehen uns einige der jüngsten Ereignisse oder Situationen an, die vor sich gehen. Sie werden feststellen, dass auf ein und demselben Rechner viele verschiedene Szenarien mit einer Ausweitung der Rechte oder Web-Exploits aufgetreten sind. Und diese Schweregrade sind hoch bis kritisch.
Und wir würden uns gerne dort anmelden, vielleicht etwas tun, einen genaueren Blick darauf werfen und sehen, ob es etwas gibt, was wir tun sollten. Offensichtlich sollten wir etwas tun. Und wenn wir hier anfangen zu graben, sehen wir, dass es viele Erkennungsmuster gibt, sei es bekannte Malware, Diebstahl von Anmeldeinformationen oder Web-Exploits. Wir können im Prozessbaum eine Menge verschiedener Befehle sehen, die ausgegeben wurden, um die Privilegienerweiterung zu untersuchen, die wir vorhin bemerkt haben – oder um diese einzurichten.
Wir wissen also, dass etwas Schlimmes vor sich geht, und wir würden gerne sofort handeln. Was wir also tun wollen, ist, diese Maschine über das Netzwerk einzudämmen. Was ich Ihnen aber auch zeigen möchte, ist, dass wir das tun – ich werde zu der Maschine selbst gehen. Ich möchte einen kontinuierlichen Ping starten, damit Sie das Verhalten beobachten können und sehen können, wie lange es dauert, bis er auf diese Netzwerkeindämmung reagiert.
Während wir diesen Rechner eindämmen oder vom Netz nehmen, unterbrechen wir die Verbindung zur CrowdStrike Cloud nicht. Wenn wir ihn also in die Hände bekommen, ihn bereinigen und wieder in das Netzwerk einbinden, können wir ihn immer noch über die Benutzeroberfläche bedienen oder steuern, die wir hier haben.
Die andere Sache, die ich tun möchte, ist, einen großen Download zu starten, so dass wir mit einer einzigen TCP-Verbindung beginnen – und es ist zufällig eine in Bearbeitung – im Gegensatz zum Ping, bei dem es jedes Mal mehrere TCP-Resets oder einzelne TCP-Threads geben kann. Sie können also sehen, dass dieser Rechner, wenn wir ihn eindämmen, buchstäblich aus dem Netz geworfen wird.
Verzeihen Sie meinen Bildschirm, aber ich habe die Auflösung für YouTube und aus optischen Gründen geändert.
Aber wenn ich hier reinkomme – und das wird genau in der Mitte des Bildschirms sein – steht hier Geräteaktionen. Und ich möchte es einschließen.
Wenn wir das tun, haben wir einige Optionen, um einige Notizen zu machen. Von Peter eingedämmt. Mehrere Bedrohungen beobachtet. Welche Notizen Sie auch immer machen möchten – und dann wählen Sie Eindämmen.
Sobald wir dies tun, werden Sie auf der linken Seite sehen, wie schnell es dauert, bis es reagiert. Sie sehen also sofort, fast in Echtzeit, einen Netzwerkfehler beim Download und den Ping-Test – oder den kontinuierlichen Ping-Fehler. Wir können das also schließen.
Sagen wir mal, wir sind ein paar Tage später, der Rechner ist aufgeräumt und bereit, wieder ins Netz zu gehen. Sie können die Netzwerkeinschränkung aufheben, wiederum über die Benutzeroberfläche. Wir haben immer noch diese Verbindung zu der Maschine, auch wenn alle anderen Netzwerkverbindungen beendet wurden.
So, wenn wir das tun, ist alles gut. Uncontain. Sie werden feststellen, dass der Ping fast sofort wieder anspringt.
Die Netzwerkeindämmung ist also ein leistungsfähiges Werkzeug, das wir verwenden können, wenn wir sehen, dass etwas sofort in Aktion tritt oder wenn wir in der Vergangenheit etwas gesehen haben und wir diesen Computer aus dem Netzwerk entfernen möchten – ihn quasi unter Quarantäne stellen -, damit er keinen weiteren Schaden anrichten kann.
So, das war die Netzwerkeindämmung von Netzwerkgeräten in der Falcon Sensor User Interface-Plattform. Nochmals vielen Dank fürs Zuschauen.