X
Hur man begränsar ett infekterat system
Hej. Mitt namn är Peter Ingebrigtsen. Och idag har vi loggat in på falcon.crowdstrike.com, eller Falcon User Interface.
Och vad vi ska göra är att ta en titt på några av våra system och inse att några av dem antingen för närvarande är under attack eller nyligen har varit under attack, och kan ha blivit komprometterade. Och vi vill begränsa det systemet tills vi kan komma åt det, få tag på det och få lite mer information ur det, eller bara förhindra att det gör mer skada än vad det redan har gjort.
För att kunna göra det måste du vara på din Detections-app. Det kan du göra genom att gå till radarn här på vänster sida. Om du inte redan är det, eller om ditt användargränssnitt inte öppnar det när du först loggar in, gå dit. Och välj sedan bara Senaste upptäckter.
När det öppnas kommer du att märka att du kan filtrera efter ett antal kriterier, men vi tittar på några av de senaste händelserna eller situationerna som pågår. Och du kommer att märka att samma enskilda maskin har uppmärksammat många olika scenarier med privilegieeskalering eller web-exploits. Och dessa allvarlighetsgrader är höga till kritiska.
Och vi skulle vilja logga in där, kanske göra en liten sak, ta en lite närmare titt och se om det är något vi bör göra. Självklart bör vi göra något. När vi börjar gräva här ser vi att det finns en hel del upptäcktsmönster, oavsett om det rör sig om känd skadlig kod, stöld av autentiseringsuppgifter eller webbregister. Vi kan se i processträdet en massa olika kommandon som utfärdades för att undersöka den privilegieeskalering som vi noterade tidigare – eller för att börja sätta upp den.
Så, vi vet att det är något dåligt på gång, och vi skulle vilja vidta åtgärder direkt. Så vad vi vill göra är att nätverksskydda den här maskinen. Men vad jag också vill visa dig är att när vi gör detta- Jag ska gå till själva maskinen. Och jag vill starta en kontinuerlig ping så att du kan se hur den beter sig och hur lång tid det tar att reagera på denna nätverkskontroll.
Nu, medan vi kontrollerar den här – eller tar bort den här maskinen från nätverket – dödar vi inte anslutningen till CrowdStrike Cloud. Så när vi får tag på den – vi städar upp den, vi känner oss bekväma med att sätta tillbaka den på nätverket – kan vi fortfarande använda eller styra maskinen via användargränssnittet som vi har här.
Den andra saken jag vill göra är att starta en stor nedladdning, så att vi initierar med en enda TCP-anslutning – och det råkar finnas en som är i gång – till skillnad från ping, där det kan finnas flera TCP-återställningar eller individuella TCP-trådar som går varje gång. Så att du kan se att när vi innehåller den här maskinen, slår den bokstavligen bara av nätverket.
Underlåt min skärm, men jag har ändrat upplösningen för YouTube och för utseendets skull.
Men när jag kommer in här – och det här kommer att vara precis i mitten av skärmen – står det faktiskt ”Device Actions” (Enhetsåtgärder). Och jag skulle vilja innehålla den.
När vi gör det har vi några alternativ för att göra några anteckningar. Inneslutet av Peter. Flera hot observerade. Vilka anteckningar du än vill göra – och välj sedan Contain.
När vi gör det här ser du på vänster sida hur snabbt det tar för den att reagera. Så omedelbart, nästan i realtid, ser du ett nätverksfel i nedladdningen och pingtestet – eller det kontinuerliga pingfelet. Så vi kan stänga det.
Nu, låt oss säga att vi är ett par dagar senare, den här maskinen är rengjord, redo att användas och sättas tillbaka i nätverket. Du kan gå vidare och häva nätverksbegränsningen, återigen från användargränssnittet. Vi har fortfarande den anslutningen till maskinen, även om alla andra nätverksanslutningar har avslutats.
Så, när vi gör det, allt är bra. Avsluta. Och du kommer att märka att pingen nästan omedelbart börjar skjuta upp igen.
Nätverkskontroll är alltså ett kraftfullt verktyg som vi kan använda om vi ser att något omedelbart agerar eller om vi ser att något nyligen har inträffat, och vi vill få bort den maskinen från nätverket – nästan sätta den i karantän – så att den inte kan göra mer skada.
Detta har alltså varit nätverkskontroll av nätverksenheter i användargränssnittsplattformen Falcon Sensor. Tack igen för att du tittade på.