Welkom bij CrowdStrike Falcon

X

How to contain an Infected System

Hi, daar. Mijn naam is Peter Ingebrigtsen. En vandaag zijn we ingelogd op falcon.crowdstrike.com, oftewel de Falcon-gebruikersinterface.

En wat we gaan doen is een aantal van onze systemen bekijken en vaststellen dat sommige ervan momenteel worden aangevallen of recentelijk zijn aangevallen, en mogelijk zijn gecompromitteerd. En we willen dat systeem onder controle houden totdat we er verder bij kunnen, onze handen erop kunnen leggen, en er wat meer informatie uit kunnen halen, of gewoon voorkomen dat het meer schade aanricht dan het al heeft gedaan.

Om dat te kunnen doen, moet je op je Detections app zijn. U kunt dat doen door naar de radar hier aan de linkerkant te gaan. Als je dat nog niet bent, of als je gebruikersinterface dat niet opent als je voor het eerst inlogt, ga daarheen. En selecteer dan de Recente Detecties.

Wanneer dat opent, zult u merken dat u kunt filteren op een aantal criteria, maar we kijken naar een aantal van de meer recente gebeurtenissen of situaties die gaande zijn. En je zult zien dat dezelfde machine een heleboel verschillende scenario’s met privilege escalatie of web exploits heeft opgemerkt. En deze ernst is hoog tot kritiek.

En we willen daar inloggen, misschien een beetje iets doen, een beetje beter kijken, en zien of er iets is wat we moeten doen. Het is duidelijk dat we iets moeten doen. En als we hier beginnen door te spitten, zien we dat er veel detectiepatronen zijn, of het nu bekende malware, diefstal van kredietgegevens, of web-exploits zijn. We kunnen in de procesboom veel verschillende commando’s zien die zijn uitgegeven die kijken naar die privilege escalatie die we eerder zagen- of die dat beginnen op te zetten.

Dus, we weten dat er iets ergs aan de hand is, en we willen meteen actie ondernemen. Dus, wat we willen doen is het netwerk insluiten van deze machine. Maar wat ik je ook wil laten zien, is dat als we dit doen- Ik ga naar de machine zelf. En ik wil graag een continue ping starten, zodat u het gedrag kunt zien en hoe lang het duurt om te reageren op deze netwerk insluiting.

Nu, terwijl we dit insluiten of deze machine van het netwerk halen, doden we niet de verbinding met de CrowdStrike Cloud. Dus, dat als we onze handen erop leggen- we ruimen het op, we voelen ons comfortabel om het terug op het netwerk te zetten- kunnen we nog steeds die machine bedienen of controleren via de gebruikersinterface die we hier hebben.

Het andere wat ik zou willen doen is een grote download starten, zodat we beginnen met een enkele TCP-verbinding- en er is er toevallig een in proces- in tegenstelling tot de ping, waar er meerdere TCP-resets of individuele TCP-threads elke keer kunnen gaan. Zodat je kunt zien dat als we deze machine insluiten, hij letterlijk van het netwerk wordt gehaald.

Vertrouw mijn scherm, maar ik heb de resolutie veranderd voor YouTube en voor het uiterlijk.

Maar als ik hier binnenkom- en dit zal precies in het midden van het scherm zijn- staat hier Device Actions. En ik wil het insluiten.

Nu, als we dat doen, hebben we een aantal opties om wat aantekeningen te maken. In bedwang gehouden door Peter. Meerdere bedreigingen waargenomen. Wat voor aantekeningen je ook wilt maken- en dan Contain.
Nu, op het moment dat we dit doen, aan de linkerkant, zie je hoe snel het duurt voordat dat reageert. Dus, onmiddellijk, bijna in real time, zie je een netwerkfout bij de download, en de ping test- of de continue ping mislukt. Dus, we kunnen dat sluiten.

Nu, laten we zeggen dat we een paar dagen later zijn, deze machine is schoongemaakt, klaar om te gaan, en terug in het netwerk te worden gezet. Je kunt doorgaan en de netwerk insluiting opheffen, opnieuw, vanuit de gebruikersinterface. We hebben nog steeds die verbinding met de machine, ook al zijn alle andere netwerkverbindingen beëindigd.

Dus, als we dat doen, alles goed. Ontsluiten. En je zult zien dat bijna onmiddellijk die ping terug begint te vuren.

Dus, netwerk containment is een krachtig hulpmiddel dat we kunnen gebruiken als we iets zien dat onmiddellijk actie onderneemt of als we iets zien dat onlangs in het verleden gebeurde, en we zouden die machine van het netwerk willen halen- bijna in quarantaine plaatsen- zodat het geen schade meer kan aanrichten.

Dus, dit was netwerk containment van netwerk devices in het Falcon Sensor User Interface platform. Nogmaals bedankt voor het kijken.

Plaats een reactie