X
Cum să stăpâniți un sistem infectat
Bună ziua. Numele meu este Peter Ingebrigtsen. Și astăzi, ne-am logat în falcon.crowdstrike.com, sau interfața de utilizator Falcon.
Și ceea ce vom face este să aruncăm o privire la unele dintre sistemele noastre și să recunoaștem că unele dintre ele sunt în prezent atacate sau au fost recent atacate și este posibil să fi fost compromise. Și am dori să stăpânim acel sistem până când putem ajunge mai departe la el, să punem mâna pe el și să obținem ceva mai multe informații de la el sau pur și simplu să îl împiedicăm să facă mai multe daune decât a făcut deja.
Pentru a face asta, trebuie să fiți pe aplicația Detecții. Puteți face asta mergând la radarul de aici, din partea stângă. Dacă nu sunteți deja, sau dacă interfața dvs. de utilizator nu deschide asta atunci când vă conectați pentru prima dată, mergeți acolo. Și apoi selectați doar Detecții recente.
Când se deschide, veți observa că puteți filtra după orice număr de criterii, dar noi ne uităm la unele dintre cele mai recente evenimente sau situații care se întâmplă. Și veți observa că aceeași singură mașină a observat o mulțime de scenarii diferite cu escaladare de privilegii sau exploatări web. Iar aceste severități sunt de la înalte la critice.
Și am dori să ne logăm acolo, poate să facem ceva, să ne uităm mai atent și să vedem dacă este ceva ce ar trebui să facem. Evident, ar trebui să facem ceva. Și, pe măsură ce începem să săpăm aici, vedem că există o mulțime de modele de detectare, fie că este vorba de malware cunoscut, furt de credențiale sau exploatări web. Putem vedea în arborele de procesare o mulțime de comenzi diferite care au fost emise și care se uită la acea escaladare de privilegii pe care am observat-o mai devreme – sau care încep să configureze asta.
Așa că știm că se întâmplă ceva rău și am dori să acționăm imediat. Deci, ceea ce vrem să facem este să izolăm în rețea această mașină. Dar ceea ce vreau să vă arăt, de asemenea, este că în timp ce facem acest lucru… Voi merge la mașina în sine. Și aș vrea să pornesc un ping continuu, astfel încât să puteți urmări comportamentul și cât timp îi ia să răspundă la această izolare a rețelei.
Acum, în timp ce izolez acest lucru- sau scoatem această mașină din rețea- nu oprim conexiunea la CrowdStrike Cloud. Astfel, pe măsură ce punem mâna pe ea – o curățăm, ne simțim confortabil să o punem din nou în rețea – putem în continuare să operăm sau să controlăm acea mașină prin interfața de utilizator pe care o avem aici.
Altul lucru pe care aș vrea să îl fac este să începem o descărcare mare, astfel încât să inițiem cu o singură conexiune TCP – și se întâmplă să fie una în proces – spre deosebire de ping, unde pot exista mai multe resetări TCP sau fire TCP individuale care merg de fiecare dată. Astfel încât să puteți vedea că, pe măsură ce conținem această mașină, aceasta literalmente o scoate din rețea.
Iertați-mi ecranul, dar am schimbat rezoluția pentru YouTube și din motive de aspect.
Dar când intru aici – și asta va fi chiar în mijlocul ecranului – aici scrie de fapt Device Actions. Și aș vrea să îl conțin.
Acum, în timp ce facem asta, avem câteva opțiuni pentru a face câteva note. Conținut de Peter. Amenințări multiple observate. Orice note doriți să faceți – și apoi selectați Conține.
Acum, în secunda în care facem asta, în partea stângă, veți vedea cât de repede este nevoie pentru ca acesta să răspundă. Deci, imediat, aproape în timp real, vedeți o defecțiune de rețea la descărcare, iar testul ping- sau ping-ul continuu eșuează. Deci, putem închide asta.
Acum, să spunem că suntem câteva zile mai târziu, această mașină este curățată, gata să meargă și să fie pusă din nou în rețea. Puteți merge mai departe și ridica izolarea rețelei, din nou, din interfața cu utilizatorul. Încă mai avem acea conexiune la mașină, chiar dacă toate celelalte conexiuni de rețea au fost terminate.
Așa că, pe măsură ce facem asta, totul este în regulă. Decontaminare. Și veți observa că aproape imediat acel ping începe să pornească din nou.
Acum, izolarea rețelei este un instrument puternic pe care îl putem folosi dacă vedem ceva care acționează imediat sau dacă vedem ceva recent în trecut și am dori să scoatem acea mașină din rețea – aproape să o punem în carantină – astfel încât să nu mai poată face alte pagube.
Acum, aceasta a fost izolarea în rețea a dispozitivelor de rețea în platforma Falcon Sensor User Interface. Vă mulțumim din nou că ați urmărit.