Geautomatiseerde acties - Forensische Snapshot

Downloadopties

  • PDF     (2.1 MB)
    Met Adobe Reader op diverse apparaten bekijken
  • ePub     (2.3 MB)
    Bekijken in diverse apps op iPhone, iPad, Android, Sony Reader of Windows Phone
  • Mobi (Kindle)     (1.5 MB)
    Op Kindle-apparaat of via Kindle-app op meerdere apparaten bekijken
Bijgewerkt:15 oktober 2021
Document-id:217463

Inclusief taalgebruik

De documentatie van dit product is waar mogelijk geschreven met inclusief taalgebruik. Inclusief taalgebruik wordt in deze documentatie gedefinieerd als taal die geen discriminatie op basis van leeftijd, handicap, gender, etniciteit, seksuele oriëntatie, sociaaleconomische status of combinaties hiervan weerspiegelt. In deze documentatie kunnen uitzonderingen voorkomen vanwege bewoordingen die in de gebruikersinterfaces van de productsoftware zijn gecodeerd, die op het taalgebruik in de RFP-documentatie zijn gebaseerd of die worden gebruikt in een product van een externe partij waarnaar wordt verwezen. Lees meer over hoe Cisco gebruikmaakt van inclusief taalgebruik.

Over deze vertaling

Cisco heeft dit document vertaald via een combinatie van machine- en menselijke technologie om onze gebruikers wereldwijd ondersteuningscontent te bieden in hun eigen taal. Houd er rekening mee dat zelfs de beste machinevertaling niet net zo nauwkeurig is als die van een professionele vertaler. Cisco Systems, Inc. is niet aansprakelijk voor de nauwkeurigheid van deze vertalingen en raadt aan altijd het oorspronkelijke Engelstalige document (link) te raadplegen.

    Inleiding

    Dit document beschrijft de functionaliteit voor geautomatiseerde actie in Secure Endpoint is gekoppeld aan het concept Compromiscue.  Begrijp de levenscyclus en het beheer van compromissen zijn essentieel om de functionaliteit van geautomatiseerde acties te begrijpen. Dit artikel beantwoordt vragen over de terminologie en de functionaliteit van deze concepten.

    FAQ

    Wat is een gecompromitteerde machine?

    Een gecompromitteerde machine is een eindpunt dat een actief compromis verbonden heeft. Een gecompromitteerde machine kan per ontwerp slechts één compromis tegelijk actief hebben.

    Wat is een compromis?

    Een compromis is een verzameling van een of meer detecties op een machine. De meeste detectiegebeurtenissen (bedreigingsdetectie, indicaties voor compromis, enz.) kunnen een compromis opleveren of sluiten. Er zijn echter paren van gebeurtenissen die wellicht geen nieuw compromis zullen opleveren. Wanneer er bijvoorbeeld een 'Threat Detected'-gebeurtenis plaatsvindt, maar kort nadat deze een bijbehorende Threat Quarantated-gebeurtenis heeft, veroorzaakt dit geen nieuw compromis. Logisch gezien is dit omdat Secure Endpoint met het mogelijke compromis is omgesprongen (we quarantaine de dreiging).

    Wat gebeurt er als er nieuwe detecties optreden op een gecompromitteerde machine?

    Het/de detectieevenement(en) wordt/worden toegevoegd aan het bestaande compromis. Er wordt geen nieuw compromis tot stand gebracht.

    Waar kan ik compromissen zien en beheren?

    Compromissen worden beheerd in het tabblad Inbox van de Secure Endpoint console (https://console.amp.cisco.com/compromises voor de Noord-Amerikaanse cloud). Een gecompromitteerde machine staat onder het gedeelte Attire Attire Attentie en kan worden gewist uit het compromis door op Mark Resolved te drukken. Bovendien worden compromissen automatisch na een maand gewist.

    Hoe wordt een geautomatiseerde actie* geactiveerd?

    Geautomatiseerde acties worden geactiveerd op een compromis dat wil zeggen wanneer een niet-gecompromitteerde machine een gecompromitteerde machine wordt. Als een al gecompromitteerde machine een nieuwe detectie tegenkomt, wordt deze detectie toegevoegd aan het compromis, maar aangezien dit geen nieuw compromis is, veroorzaakt het geen geautomatiseerde actie.

    Hoe kan ik een geautomatiseerde actie opnieuw activeren?

    Het compromis moet worden "gesneden" voordat wordt geprobeerd een geautomatiseerde actie opnieuw op gang te brengen. Houd in gedachten dat een bedreigde + bedreigde Garandeerde gebeurtenis niet voldoende is om een nieuw compromisevent op te zetten (en dus niet genoeg is om een nieuwe geautomatiseerde actie te starten).

    *Uitzondering: De geautomatiseerde actie "Bestand indienen bij ThreatGrid" is niet aangesloten op compromissen, en wordt per detectie uitgevoerd

    Gebruikte case - Lab Recreate

    #1: Zoals we in het FAQ-gedeelte hebben aangegeven. Forensische momentopnamen worden alleen genomen in het geval van "compromis". Met andere woorden, als we proberen om een kwaadaardig bestand van een TEST-site te downloaden en te downloaden en het bestand wordt gesignaleerd bij download en quarantaine, dan wordt dat niet als een compromis beschouwd en wordt de actie niet geactiveerd.

    Opmerking: DFC Detection, Quarantine Fail, en vrijwel alles wat door de logica in de categorie van compromisgebeurtenissen valt, zou Forensisch Snapshot moeten creëren.

    #2: U kunt alleen Forensische Snapshot genereren op een uniek gecompromitteerd evenement als het geen snapshot genereert tenzij u de gecompromitteerde machine in uw inbox oplost. Als u de gecompromitteerde gebeurtenis niet oplost, genereert u geen andere momentopname.

    Voorbeeld: In dit lab genereert een script kwaadaardige activiteit en omdat het bestand gewist wordt zodra het gemaakt is en Secure Endpoint niet in staat is om het bestand in quarantaine te plaatsen voor een compromitterende categorie.

    Secure Endpoint Events

    In deze test kan je onder geautomatiseerde handelingen kijken en 3 dingen die gebeurde gebaseerd op de instellingen.

    • Snapshot werd gemaakt
    • Indiening werd naar Threat Grid (TG) verzonden
    • Het eindpunt werd verplaatst naar een afzonderlijke groep die ISOLATION werd gecreëerd en genoemd

    U kunt dit alles in deze uitvoer zien, zoals in de afbeelding wordt weergegeven.

    Secure Endpoint output

    Aangezien dit eindpunt gecompromitteerd is, de volgende test om de theorie met een soortgelijk kwaadaardig bestand maar met een andere naam aan te tonen, zoals in de afbeelding getoond wordt.

    Secure Endpoint Events

    Aangezien dit compromis echter niet is opgelost, kunt u alleen een TG-voorstel opstellen. Er werden geen andere voorvallen geregistreerd en de isolatie werd ook uitgeschakeld voor deze 2e test.

    Secure Endpoint Dashboard

    Opmerking: Let op het tijdstip waarop de dreiging is gedetecteerd en automatische actie triggers instelt.

    De gebeurtenis kan niet opnieuw geactiveerd worden, tenzij het gecompromitteerde eindpunt is opgelost. In dit geval ziet het dashboard er zo uit. Let op het percentage en de knop Mark Resolved samen met de gecompromitteerde gebeurtenissen. Ongeacht het aantal gebeurtenissen dat wordt geactiveerd, kunt u slechts één momentopname maken en het grote procentuele aantal is nooit gewijzigd. Dat getal vertegenwoordigt compromissen binnen uw organisatie en is gebaseerd op de totale hoeveelheid eindpunten in uw organisatie. Het verandert alleen met een andere gecompromitteerde machine. In dit voorbeeld is het aantal hoog door slechts 16 apparaten in het lab. Houd er ook rekening mee dat compromisgebeurtenissen automatisch worden gewist zodra ze 31 dagen oud zijn.

    Secure Endpoint Dashboard

    De volgende stap is het creëren van een andere gebeurtenis en het creëren van een forensische momentopname. De eerste stap is om dit compromis op te lossen, klikt u op de knop Mark Resolved. U kunt dit per eindpunt doen of u kunt alles in uw organisatie selecteren.

    Secure Endpoint Dashboard

    Opmerking:  Als u alle compromissen selecteert, worden ze teruggezet op 0%.

    Zodra de knop Mark Resolved is geselecteerd en omdat slechts één eindpunt werd gecompromitteerd op het Secure Endpoint dashboard lijkt dit. Op dat moment werd een nieuw gecompromitteerd evenement op de testmachine geactiveerd.

    Secure Endpoint Dashboard

    Het volgende voorbeeld veroorzaakt een gebeurtenis met een douane script dat een kwaadaardig bestand maakt en verwijdert.

    Secure Endpoint workstation detection event

    Secure Endpoint console opnieuw gecompromitteerd, zoals in de afbeelding getoond

    Secure Endpoint Dashboard

    Hier zijn nieuwe gebeurtenissen onder Geautomatiseerde handelingen, zoals in de afbeelding weergegeven.

    Secure Endpoint Automated Actions

    Wanneer de hostname onder Geautomatiseerde handelingen is geselecteerd, wordt deze omgeleid naar Apparaattraject waar u de snapshot kunt observeren die wordt gemaakt als u het computertabblad hebt uitvouwen, zoals in de afbeelding wordt getoond.

    Secure Endpoint Dashboard

    En een minuut later momentopname wordt gecreëerd, zoals in de afbeelding wordt getoond.

    Secure Endpoint Dashboard

    Nu kun je de weergegeven gegevens bekijken.

    Secure Endpoint Dashboard

    Tip

    In zeer grote omgevingen met duizenden eindpunten en honderden compromissen, kan je in situaties lopen waar de navigatie naar het individuele eindpunt een uitdaging zou kunnen zijn. Op dit moment is de enige beschikbare oplossing: gebruik de hittekaart en boor vervolgens naar een specifieke groep waar uw compromiseindpunt is zoals in dit voorbeeld hieronder.

    Secure Endpoint Dashboard

    Zodra de groep geselecteerd is in de hittekaart navigeer naar die groep waarin we de gebeurtenis gecompromitteerd hebben. Aangezien er slechts één eindpunt in die groep is, merk ik op dat er 100% compromissen zijn gesloten, die nu gebaseerd zijn op de specifieke groep waarin wij ons bevinden. Met andere woorden, als we twee eindpunten in deze groep hebben, één schoon en het andere compromis geeft 50 procent compromis.

    Secure Endpoint Dashboard

    Revisiegeschiedenis

    Revisie Publicatiedatum Opmerkingen
    2.0
    15-Oct-2021
    Eerste release
    1.0
    15-Oct-2021
    Eerste vrijgave
    TAC Authored

    Bijgedragen door Cisco-engineers

    • Roman Valenta
      Cisco TAC-ingenieur
    • Brandon Macer
      Cisco Engineer
    • Edited by Yeraldin Sanchez
      Cisco TAC-ingenieur

    Was dit document nuttig?

    FeedbackFeedback

    Contact Cisco

    Dit document is van toepassing op deze producten