X
Como conter um sistema infectado
Hi, ali. O meu nome é Peter Ingebrigtsen. E hoje, nós entramos no falcon.crowdstrike.com, ou na interface de usuário do Falcon.
E o que vamos fazer é dar uma olhada em alguns dos nossos sistemas e reconhecer que alguns deles ou estão atualmente sob ataque ou estiveram recentemente sob ataque, e podem ter sido comprometidos. E gostaríamos de conter esse sistema até conseguirmos chegar mais longe, colocar as mãos nele e obter um pouco mais de informação, ou apenas evitar que ele cause mais danos do que já foi feito.
Para fazer isso, você precisa estar no seu aplicativo de Detecções. Você pode fazer isso, indo para o radar aqui no lado esquerdo. Se você ainda não estiver, ou se a sua interface de usuário não abrir isso quando você fizer o primeiro login, vá até lá. E depois basta seleccionar a opção Detecções Recentes.
Quando isso abrir, vai notar que pode filtrar por qualquer número de critérios, mas estamos a olhar para alguns dos eventos ou situações mais recentes que estão a acontecer. E você vai notar que a mesma máquina tem notado muitos cenários diferentes com escalonamento de privilégios ou explorações web. E estas severidades são elevadas ao crítico.
E gostaríamos de entrar lá, talvez fazer um pouco de algo, olhar um pouco mais de perto, e ver se há algo que devemos fazer. Obviamente, devíamos fazer alguma coisa. E quando começamos a cavar por aqui, vemos que há muitos padrões de detecção, sejam eles malware conhecido, roubo de credenciais ou explorações da web. Podemos ver na árvore de processos muitos comandos diferentes que foram emitidos que olham para aquela escalada de privilégios que notamos antes – ou começar a configurar isso.
Então, sabemos que há algo ruim acontecendo, e gostaríamos de tomar medidas imediatamente. Então, o que queremos fazer é colocar esta máquina em rede. Mas o que eu quero mostrar a vocês, também, é que enquanto fazemos isso, eu vou para a própria máquina. E eu gostaria de iniciar um ping contínuo para que você possa observar o comportamento e quanto tempo leva para responder a esta contenção de rede.
Agora, enquanto nós contivermos esta – ou tirarmos esta máquina da rede – nós não matamos a conexão com a CrowdStrike Cloud. Assim, à medida que colocamos as mãos nela – limpamo-la, sentimo-nos à vontade para voltar a colocá-la na rede – ainda podemos operar ou controlar essa máquina através da interface do utilizador que temos aqui.
A outra coisa que gostaria de fazer é iniciar um grande download, de modo a iniciarmos com uma única ligação TCP – e acontece que há uma em processo – ao contrário do ping, onde pode haver múltiplas reinicializações TCP ou threads TCP individuais a decorrer de cada vez. Para que você possa ver que ao conter esta máquina, ela literalmente apenas a desliga da rede.
Perdoe minha tela, mas eu mudei a resolução para o YouTube e para fins de aparência.
But as I come in here- e isto estará bem no meio da tela – isto na verdade diz Device Actions. E eu gostaria de contê-lo.
Agora, como fazemos isso, temos algumas opções para fazer algumas anotações. Contido pelo Peter. Múltiplas ameaças observadas. Quaisquer notas que você gostaria de fazer – e então selecione Contain.
Agora, assim que fizermos isso, no lado esquerdo, você verá como é rápido para que isso responda. Então, imediatamente, quase em tempo real, você vê uma falha de rede no download, e o teste de ping – ou o ping contínuo falha. Então, podemos fechar isso.
Agora, digamos que estamos alguns dias depois, esta máquina está limpa, pronta para ir, e ser colocada de volta na rede. Você pode ir em frente e levantar a contenção da rede, novamente, a partir da interface do usuário. Nós ainda temos essa conexão com a máquina, mesmo que todas as outras conexões de rede tenham sido terminadas.
Então, como nós fazemos isso, tudo bem. Incontido. E você vai notar que quase imediatamente aquele ping começa a disparar novamente.
Então, a contenção de rede é uma ferramenta poderosa que podemos usar se virmos algo imediatamente tomando ação ou se virmos algo recentemente no passado, e gostaríamos de tirar aquela máquina da rede – quase colocá-la em quarentena – para que ela não possa fazer mais danos.
Então, isto tem sido a contenção de rede de dispositivos de rede na plataforma Falcon Sensor User Interface. Obrigado novamente por assistir.