Bienvenue à CrowdStrike Falcon

X

Comment contenir un système infecté

Salut. Mon nom est Peter Ingebrigtsen. Et aujourd’hui, nous nous sommes connectés à falcon.crowdstrike.com, ou l’interface utilisateur Falcon.

Et ce que nous allons faire, c’est jeter un coup d’œil à certains de nos systèmes et reconnaître que certains d’entre eux sont actuellement attaqués ou l’ont été récemment, et peuvent avoir été compromis. Et nous aimerions contenir ce système jusqu’à ce que nous puissions davantage l’atteindre, mettre la main dessus, et en tirer un peu plus d’informations, ou simplement l’empêcher de faire plus de dégâts qu’il n’en a déjà fait.

Pour faire cela, vous devez être sur votre application Detections. Vous pouvez le faire en allant sur le radar ici sur le côté gauche. Si vous ne l’êtes pas déjà, ou si votre interface utilisateur n’ouvre pas cela lorsque vous vous connectez pour la première fois, dirigez-vous là. Et puis sélectionnez simplement les détections récentes.

Lorsque cela s’ouvre, vous remarquerez que vous pouvez filtrer par un certain nombre de critères, mais nous regardons certains des événements ou des situations les plus récents qui se passent. Et vous remarquerez que la même machine unique a remarqué un grand nombre de scénarios différents avec escalade de privilèges ou exploits web. Et ces gravités sont élevées à critiques.

Et nous aimerions nous connecter là, peut-être faire un petit quelque chose, regarder d’un peu plus près, et voir s’il y a quelque chose que nous devrions faire. De toute évidence, nous devrions faire quelque chose. Et lorsque nous commençons à creuser ici, nous voyons qu’il y a beaucoup de modèles de détection, qu’il s’agisse de logiciels malveillants connus, de vol d’informations d’identification ou d’exploits Web. Nous pouvons voir dans l’arbre des processus un grand nombre de commandes différentes qui ont été émises qui regardent cette escalade de privilèges que nous avons remarquée plus tôt – ou qui commencent à la mettre en place.

Donc, nous savons qu’il y a quelque chose de mauvais qui se passe, et nous aimerions prendre des mesures immédiatement. Donc, ce que nous voulons faire est de contenir cette machine en réseau. Mais ce que je veux vous montrer, aussi, c’est que pendant que nous faisons cela, je vais aller sur la machine elle-même. Et j’aimerais commencer un ping continu pour que vous puissiez observer le comportement et le temps qu’il faut pour répondre à ce confinement du réseau.

Maintenant, pendant que nous confinons ceci- ou que nous retirons cette machine du réseau- nous ne tuons pas la connexion au CrowdStrike Cloud. Donc, qu’au fur et à mesure que nous mettons la main dessus – nous le nettoyons, nous nous sentons à l’aise de le remettre sur le réseau – nous pouvons toujours opérer ou contrôler cette machine à travers l’interface utilisateur que nous avons ici.

L’autre chose que j’aimerais faire est de commencer un gros téléchargement, de sorte que nous initions avec une seule connexion TCP – et il se trouve qu’il y en a une en cours – par opposition au ping, où il peut y avoir plusieurs réinitialisations TCP ou des threads TCP individuels allant à chaque fois. De sorte que vous pouvez voir que lorsque nous contenons cette machine, cela la fait littéralement sortir du réseau.

Pardon pour mon écran, mais j’ai changé la résolution pour YouTube et pour des raisons d’apparence.

Mais lorsque j’arrive ici – et ce sera juste au milieu de l’écran – cela dit en fait Actions du dispositif. Et je voudrais le contenir.

Maintenant, comme nous le faisons, nous avons quelques options pour faire quelques notes. Contenue par Peter. Menaces multiples observées. Quelles que soient les notes que vous aimeriez faire- puis sélectionnez Contain.
Now, à la seconde où nous faisons cela, sur le côté gauche, vous verrez la rapidité avec laquelle cela répond. Donc, immédiatement, presque en temps réel, vous voyez un échec de réseau sur le téléchargement, et le test ping- ou l’échec ping continu. Donc, nous pouvons fermer cela.

Maintenant, disons que nous sommes quelques jours plus tard, cette machine est nettoyée, prête à partir, et être remise dans le réseau. Vous pouvez aller de l’avant et lever le confinement du réseau, encore une fois, à partir de l’interface utilisateur. Nous avons toujours cette connexion à la machine, même si toutes les autres connexions réseau ont été terminées.

Donc, comme nous faisons cela, tout va bien. Décontenancez. Et vous remarquerez que presque immédiatement, ce ping commence à tirer à nouveau.

Donc, le confinement du réseau est un outil puissant que nous pouvons utiliser si nous voyons quelque chose qui prend immédiatement des mesures ou si nous voyons quelque chose récemment dans le passé, et nous aimerions retirer cette machine du réseau – presque la mettre en quarantaine – afin qu’elle ne puisse plus faire de dégâts.

Donc, ceci a été le confinement du réseau des périphériques réseau dans la plateforme d’interface utilisateur Falcon Sensor. Merci encore d’avoir regardé.

Laisser un commentaire