CrowdStrike Falcon

X

How to Contain the Infected System

はじめに こんにちは。 私の名前は Peter Ingebrigtsen です。 そして今日、falcon.crowdstrike.com、つまりファルコン ユーザー インターフェースにログインしました。

そしてこれから行うことは、いくつかのシステムを見て、それらのいくつかは、現在攻撃を受けているか、最近攻撃を受けていて、侵害されているかもしれないことを認識する、ということです。 さらに、そのシステムにアクセスし、手を触れて、もう少し情報を引き出すことができるまで、あるいは、これ以上の被害が出ないように、そのシステムを封じ込めたいと思います。 左側にあるレーダーから行えます。 まだログインしていない場合、または最初にログインしたときにユーザー インターフェースが開かない場合は、そこに向かってください。 最近の検出]を選択します。

この画面が表示されたら、さまざまな基準でフィルタリングできますが、ここでは、最近発生したイベントまたは状況を見ています。 同じ1台のマシンで、特権の昇格やWebエクスプロイトなど、さまざまなシナリオが発生していることに気づきます。 そして、これらの深刻度は、高から重要です。

そして、そこにログインして、おそらく少し何かをして、もう少し詳しく見て、私たちがすべきことがあるかどうかを見たいと思います。 明らかに、私たちは何かをしなければなりません。 そして、ここを調べ始めると、既知のマルウェア、クレデンシャル盗難、Webエクスプロイトなど、多くの検出パターンがあることがわかります。 プロセス ツリーでは、以前に気づいた特権の昇格を調べたり、それを設定するために発行された多くの異なるコマンドを見ることができます。

したがって、何か悪いことが起こっていることは分かっており、すぐに行動を起こしたいのです。 そこで、私たちが行いたいのは、このマシンをネットワークで封じ込めることです。 しかし、このようにすることで、私はマシン自体に行くつもりです。 そして、連続的な ping を開始して、このネットワーク封じ込めに反応するまでの動作と時間を観察します。

さて、このマシンを封じ込めたり、このマシンをネットワークから切り離したりしても、CrowdStrike Cloud への接続は切断しません。 このため、マシンをクリーンアップし、ネットワークに戻しても、ここにあるユーザー インターフェイスを通じてマシンを操作または制御できます。

他に行いたいことは、大きなダウンロードを開始し、単一の TCP 接続で開始し、たまたまプロセス中のものがありますが、複数の TCP リセットまたは個別の TCP スレッドが毎回発生する Ping とは異なります。

しかし、ここに来て、これは画面のちょうど真ん中になりますが、実際には Device Actions と表示されています。 そして、それを格納したいと思います。

さて、それを実行すると、いくつかのオプションを使用して、いくつかのノートを作成します。 Peter によって封じ込められた。 複数の脅威を観測。

次に、これを実行すると、左側に、応答するのにかかる時間の速さが表示されます。 つまり、すぐに、ほとんどリアルタイムで、ダウンロードでネットワーク障害が発生し、Ping テストまたは連続 Ping が失敗していることがわかります。

さて、数日後、このマシンをきれいにして、ネットワークに戻す準備ができたとします。 この場合、ユーザー インターフェイスから、ネットワークの封じ込めを解除することができます。 他のすべてのネットワーク接続が終了しているにもかかわらず、マシンへの接続はまだ残っています。 Uncontain。

ですから、ネットワーク封じ込めは、何かすぐに行動を起こしているのを見た場合、または最近過去に何かを見た場合に、そのマシンをネットワークから取り除き、ほとんど隔離して、これ以上損害を与えられないようにするために使用できる強力なツールなのです。 ご覧いただきありがとうございました。

コメントする