Tervetuloa CrowdStrike Falconiin

X

How to Contain an Infected System

Hei. Nimeni on Peter Ingebrigtsen. Ja tänään olemme kirjautuneet falcon.crowdstrike.com:iin eli Falcon-käyttöliittymään.

Ja aiomme tarkastella joitakin järjestelmiämme ja tunnistaa, että jotkin niistä ovat joko parhaillaan hyökkäyksen kohteena tai ovat hiljattain joutuneet hyökkäyksen kohteeksi, ja ne ovat saattaneet vaarantua. Ja haluaisimme hillitä tuota järjestelmää, kunnes pääsemme tarkemmin käsiksi siihen, saamme käsiimme sen ja saamme siitä hieman enemmän tietoa tai vain estämme sitä tekemästä enempää vahinkoa kuin mitä se on jo tehnyt.

Tehdäksesi tämän sinun on oltava Detections-sovelluksessa. Voit tehdä sen menemällä tutkaan täällä vasemmalla puolella. Jos et jo ole, tai jos käyttöliittymäsi ei avaa sitä, kun kirjaudut sisään ensimmäisen kerran, mene sinne. Ja valitse sitten Recent Detections.

Kun se aukeaa, huomaat, että voit suodattaa millä tahansa kriteereillä, mutta me katsomme joitakin viimeisimpiä tapahtumia tai tilanteita, jotka ovat meneillään. Ja huomaat, että samalla yksittäisellä koneella on havaittu paljon erilaisia skenaarioita, joissa on etuoikeuksien laajentamista tai verkkohyökkäyksiä. Ja nämä vakavuudet ovat korkeasta kriittiseen.

Ja haluaisimme kirjautua sinne, ehkä tehdä vähän jotain, katsoa vähän tarkemmin ja katsoa, pitäisikö meidän tehdä jotain. Ilmeisesti meidän pitäisi tehdä jotain. Kun alamme tutkia tätä, huomaamme, että täällä on paljon havaintomalleja, olivatpa ne sitten tunnettuja haittaohjelmia, valtakirjojen varastamista tai verkkohyökkäyksiä. Voimme nähdä prosessipuussa paljon erilaisia komentoja, jotka on annettu ja jotka tarkastelevat aiemmin havaitsemaamme oikeuksien laajentamista – tai alkavat järjestää sitä.

Tiedämme siis, että jotain pahaa on tekeillä, ja haluaisimme ryhtyä toimiin heti. Haluamme siis eristää tämän koneen verkkoon. Mutta haluan myös näyttää teille, että kun teemme tämän… Menen itse koneeseen. Ja haluaisin aloittaa jatkuvan pingauksen, jotta voitte tarkkailla käyttäytymistä ja sitä, kuinka kauan kestää vastata tähän verkon eristämiseen.

Nyt kun eristämme tämän koneen – tai poistamme sen verkosta – emme katkaise yhteyttä CrowdStrike Cloudiin. Joten, kun saamme sen käsiimme – siivoamme sen, tunnemme olomme mukavaksi, kun laitamme sen takaisin verkkoon – voimme edelleen käyttää tai hallita tätä konetta sen käyttöliittymän kautta, joka meillä on tässä.

Toinen asia, jonka haluaisin tehdä, on käynnistää suuri lataus, jotta aloitamme yhdellä TCP-yhteydellä – ja sattuu olemaan yksi käynnissä – toisin kuin ping, jossa voi olla useita TCP-uudelleensiirtoja tai yksittäisiä TCP-säikeitä menossa joka kerta. Voit siis nähdä, että kun pidätämme tämän koneen, se kirjaimellisesti vain tyrmää sen verkosta.

Anteeksi näytöni, mutta olen muuttanut resoluutiota YouTuben ja ulkoasun vuoksi.

Mutta kun tulen tänne – ja tämä on aivan ruudun keskellä – tässä lukee Device Actions (laitetoiminnot). And I’d like to contain it.

Now, as we do that, we have some options to make some notes. Contained by Peter. Useita uhkia havaittu. Whatever notes you’d like to make- and then select Contain.
Now, the second we do this, on the left-hand side, you’ll see how quickly it takes for that to respond. Joten heti, lähes reaaliajassa, näet verkkohäiriön latauksessa ja ping-testin – tai jatkuvan pingin epäonnistumisen. Voimme siis sulkea tuon.

Asettakaamme nyt, että olemme pari päivää myöhemmin, tämä kone on siivottu, valmis toimimaan, ja se voidaan laittaa takaisin verkkoon. Voit mennä eteenpäin ja poistaa verkon eristyksen, jälleen käyttöliittymästä. Meillä on edelleen tuo yhteys koneeseen, vaikka kaikki muut verkkoyhteydet on lopetettu.

Niin, kun teemme sen, kaikki hyvin. Uncontain. Ja huomaat, että melkein heti tuo ping alkaa taas palaa.

Verkon eristäminen on siis tehokas työkalu, jota voimme käyttää, jos näemme jonkin koneen ryhtyvän välittömästi toimenpiteisiin tai jos näemme jotain hiljattain tapahtunutta, ja haluaisimme saada koneen pois verkosta – melkein karanteeniin – jotta se ei voi tehdä enää mitään vahinkoa.

Tässä on siis ollut verkkolaitteiden verkko-eristäminen Falconin anturikäyttöliittymäalustalla. Kiitos vielä kerran tarkkailusta.

Jätä kommentti