X
How to contain an infected system
Hi, there. A nevem Peter Ingebrigtsen. És ma bejelentkeztünk a falcon.crowdstrike.com, vagyis a Falcon felhasználói felületre.
És azt fogjuk tenni, hogy megnézzük néhány rendszerünket, és felismerjük, hogy néhányat közülük vagy jelenleg támadás ér, vagy nemrég támadás érte, és lehet, hogy veszélyeztetett. És szeretnénk megfékezni ezt a rendszert, amíg tovább nem jutunk hozzá, rá nem vesszük a kezünket, és nem tudunk belőle egy kicsit több információt kiszedni, vagy csak megakadályozni, hogy még több kárt okozzon, mint amennyit már okozott.
Hogy ezt megtehessük, az Érzékelések alkalmazásban kell lenned. Ezt megteheted, ha a radarra mész itt a bal oldalon. Ha még nem vagy ott, vagy ha a felhasználói felületed nem nyitja meg azt, amikor először bejelentkezel, menj oda. Aztán csak válassza ki a Legutóbbi észlelések menüpontot.
Amikor ez megnyílik, észreveheti, hogy tetszőleges számú kritérium alapján szűrhet, de mi most a legfrissebb eseményeket vagy helyzeteket nézzük. És észre fogja venni, hogy ugyanaz az egyetlen gép sok különböző forgatókönyvet észlelt a jogosultságok kiterjesztésével vagy webes kihasználásokkal kapcsolatban. És ezek a súlyossági fokozatok magasak vagy kritikusak.
És szeretnénk bejelentkezni oda, talán tenni valamit, egy kicsit közelebbről megnézni, és megnézni, hogy van-e valami, amit tennünk kellene. Nyilvánvalóan tennünk kellene valamit. És ahogy elkezdünk itt kutakodni, látjuk, hogy sok észlelési mintát találunk, legyen szó akár ismert rosszindulatú programokról, hitelesítő adatok ellopásáról vagy webes kihasználásokról. A folyamatfán láthatunk egy csomó különböző parancsot, amelyeket kiadtak, amelyek a korábban észrevett jogosultságok kiterjesztését vizsgálják – vagy elkezdik azt beállítani.
Szóval, tudjuk, hogy valami rossz történik, és szeretnénk azonnal cselekedni. Tehát, amit tenni akarunk, az az, hogy hálózatba zárjuk ezt a gépet. De azt is meg akarom mutatni, hogy miközben ezt tesszük… Megyek magához a géphez. És szeretnék egy folyamatos pinget indítani, hogy megfigyelhesse a viselkedését, és hogy mennyi időbe telik, amíg reagál erre a hálózati korlátozásra.
Most, miközben ezt a gépet elszigeteljük – vagy levesszük a hálózatról -, nem szüntetjük meg a kapcsolatot a CrowdStrike Clouddal. Így, ahogy rátesszük a kezünket – megtisztítjuk, és kényelmesen visszatesszük a hálózatra -, továbbra is működtethetjük vagy irányíthatjuk a gépet az itt lévő felhasználói felületen keresztül.
A másik dolog, amit szeretnék tenni, az egy nagy letöltés elindítása, így egyetlen TCP-kapcsolattal kezdeményezzük – és történetesen egy van folyamatban – szemben a pinggel, ahol minden alkalommal több TCP-visszaállítás vagy egyedi TCP-szál indulhat. Így láthatod, hogy ahogyan ezt a gépet tartalmazzuk, szó szerint csak lekapcsolja a hálózatról.
Bocsáss meg a képernyőmnek, de megváltoztattam a felbontást a YouTube és a megjelenés miatt.
De ahogy belépek ide – és ez pont a képernyő közepén lesz – ez valójában azt mondja, hogy Device Actions. És szeretném tartalmazni.
Most, ahogy ezt tesszük, van néhány lehetőségünk arra, hogy néhány megjegyzést tegyünk. Contained by Peter. Többszörös fenyegetést észlelt. Bármilyen megjegyzést szeretnél tenni – majd válaszd ki a Contain.
Most, amint ezt megtesszük, a bal oldalon látni fogod, hogy milyen gyorsan reagál. Tehát azonnal, szinte valós időben látja a hálózati hibát a letöltésnél, és a ping teszt- vagy a folyamatos ping sikertelen. Tehát, ezt lezárhatjuk.
Tegyük fel, hogy néhány nappal később, ez a gép megtisztítva, készen áll, hogy újra a hálózatba kerüljön. Mehetünk előre, és feloldhatjuk a hálózati elszigetelést, ismét a felhasználói felületről. Még mindig megvan ez a kapcsolat a géppel, annak ellenére, hogy az összes többi hálózati kapcsolat megszűnt.
Szóval, ahogy ezt megtesszük, minden rendben. Uncontain. És észre fogja venni, hogy a ping szinte azonnal újra tüzelni kezd.
A hálózati elszigetelés tehát egy hatékony eszköz, amelyet akkor használhatunk, ha látunk valamit, ami azonnal akcióba lép, vagy ha látunk valamit a közelmúltban, és szeretnénk eltávolítani a gépet a hálózatról – szinte karanténba zárni -, hogy ne tudjon több kárt okozni.
Ez volt tehát a hálózati eszközök hálózati elszigetelése a Falcon Sensor felhasználói felület platformon. Még egyszer köszönöm, hogy figyeltek.