X
Cómo contener un sistema infectado
Hola. Mi nombre es Peter Ingebrigtsen. Y hoy, hemos entrado en falcon.crowdstrike.com, o la interfaz de usuario Falcon.
Y lo que vamos a hacer es echar un vistazo a algunos de nuestros sistemas y reconocer que algunos de ellos están actualmente bajo ataque o han sido recientemente atacados, y pueden haber sido comprometidos. Y nos gustaría contener ese sistema hasta que podamos llegar a él, poner nuestras manos en él, y obtener un poco más de información de él, o simplemente evitar que haga más daño del que ya ha hecho.
Con el fin de hacer eso, usted necesita estar en su aplicación Detecciones. Usted puede hacer eso por ir al radar aquí en el lado izquierdo. Si aún no lo estás, o si tu interfaz de usuario no abre eso cuando te conectas por primera vez, dirígete allí. Cuando se abra, te darás cuenta de que puedes filtrar por cualquier número de criterios, pero estamos viendo algunos de los eventos o situaciones más recientes que están sucediendo. Y te darás cuenta de que la misma máquina se ha dado cuenta de un montón de diferentes escenarios con la escalada de privilegios o exploits web. Y estas severidades son de altas a críticas.
Y nos gustaría entrar ahí, tal vez hacer algo, echar un vistazo más de cerca, y ver si hay algo que deberíamos hacer. Obviamente, deberíamos hacer algo. Y a medida que empezamos a cavar aquí, vemos que hay un montón de patrones de detección, ya sea malware conocido, robo de credenciales, o exploits web. Podemos ver en el árbol de proceso de una gran cantidad de diferentes comandos que se emitieron que buscan que la escalada de privilegios que nos dimos cuenta antes- o empezar a configurar eso.
Así que, sabemos que hay algo malo pasando, y nos gustaría tomar medidas de inmediato. Así que, lo que queremos hacer es contener en red esta máquina. Pero lo que quiero mostrar, también, es que a medida que hacemos esto- Voy a ir a la propia máquina. Y me gustaría iniciar un ping continuo para que puedas observar el comportamiento y cuánto tiempo tarda en responder a esta contención de la red.
Ahora, mientras contenemos esto- o sacamos esta máquina de la red- no matamos la conexión a CrowdStrike Cloud. Por lo tanto, que a medida que tenemos en nuestras manos- lo limpiamos, nos sentimos cómodos poniéndolo de nuevo en la red- todavía podemos operar o controlar esa máquina a través de la interfaz de usuario que tenemos aquí.
La otra cosa que me gustaría hacer es iniciar una gran descarga, por lo que iniciamos con una sola conexión TCP- y resulta que hay una en proceso- a diferencia del ping, donde puede haber múltiples reinicios TCP o hilos TCP individuales que van cada vez. Así que usted puede ver que a medida que contenemos esta máquina, que, literalmente, sólo lo golpea fuera de la red.
Perdón mi pantalla, pero he cambiado la resolución para YouTube y para fines de apariencia.
Pero a medida que vengo aquí- y esto será justo en el centro de la pantalla- esto realmente dice Acciones del dispositivo. Y me gustaría contenerlo.
Ahora, mientras hacemos eso, tenemos algunas opciones para hacer algunas notas. Contenido por Peter. Múltiples amenazas observadas. Cualquier nota que te gustaría hacer- y luego seleccione Contain.
Ahora, el segundo que hacemos esto, en el lado izquierdo, verás lo rápido que tarda en responder. Así que, inmediatamente, casi en tiempo real, se ve un fallo de red en la descarga, y la prueba de ping- o el ping continuo fallan. Entonces, podemos cerrar eso.
Ahora, digamos que estamos un par de días después, esta máquina está limpia, lista para ir, y ser puesta de nuevo en la red. Usted puede seguir adelante y levantar la contención de la red, de nuevo, desde la interfaz de usuario. Todavía tenemos esa conexión a la máquina, a pesar de que todas las otras conexiones de red se han terminado.
Así que, como hacemos eso, todo bien. Desconectar. Y usted notará que casi inmediatamente que el ping comienza a disparar de nuevo.
Así, la contención de la red es una poderosa herramienta que podemos utilizar si vemos algo de inmediato la adopción de medidas o si vemos algo recientemente en el pasado, y nos gustaría conseguir que la máquina de la red – casi en cuarentena- para que no pueda hacer más daño.
Así, esto ha sido la contención de la red de dispositivos de red en la plataforma de interfaz de usuario del sensor Falcon. Gracias de nuevo por mirar.