Ações automatizadas - Instantâneo forense

Opções de download

  • PDF     (2.1 MB)
    Ver no Adobe Reader em vários dispositivos
  • ePub     (2.3 MB)
    Ver em vários aplicativos no iPhone, iPad, Android, Sony Reader ou Windows Phone
  • Mobi (Kindle)     (1.5 MB)
    Ver no dispositivo Kindle ou no aplicativo Kindle em vários dispositivos
Atualizado:15 de outubro de 2021
ID do documento:217463

Linguagem imparcial

O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.

Sobre esta tradução

A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.

    Introduction

    Este documento descreve a funcionalidade de ação automatizada no Secure Endpoint vinculada ao conceito de Compromissos.  Compreender o ciclo de vida e o gerenciamento de compromissos são vitais para compreender a funcionalidade das ações automatizadas. Este artigo responde a perguntas sobre a terminologia e a funcionalidade desses conceitos.

    FAQ

    O que é uma máquina comprometida?

    Uma máquina comprometida é um endpoint que tem um comprometimento ativo associado a ela. Uma máquina comprometida pode, por projeto, ter apenas um comprometimento ativo de uma vez.

    O que é um compromisso?

    Um comprometimento é uma coleção de uma ou mais detecções em uma máquina. A maioria dos eventos de detecção (ameaça detectada, indicações de comprometimento etc.) pode gerar ou se tornar associada a um comprometimento. No entanto, há pares de eventos que podem não desencadear um novo compromisso. Por exemplo, quando ocorre um evento Detectado de Ameaça, mas logo após ele ter um evento associado de Quarentena de Ameaça, isso não gera um novo comprometimento. Logicamente, isso ocorre porque o Secure Endpoint lidou com o possível comprometimento (colocamos a ameaça em quarentena).

    O que acontece quando novas detecções ocorrem em uma máquina comprometida?

    Os eventos de detecção são adicionados ao comprometimento existente. Nenhum novo compromisso é criado.

    Onde posso ver e gerenciar comprometimentos?

    Os compromissos são gerenciados na guia Caixa de entrada do console do Secure Endpoint (que é https://console.amp.cisco.com/compromises para a nuvem da América do Norte). Uma máquina comprometida está listada na seção Require Attention e pode ser eliminada de seu comprometimento pressionando Mark Resolved. Além disso, os compromissos são automaticamente eliminados após um mês.

    Como uma ação automatizada* é acionada?

    Ações automatizadas são acionadas com um comprometimento, ou seja, quando uma máquina sem comprometimento se torna uma máquina comprometida. Se uma máquina já comprometida encontrar uma nova detecção, essa detecção será adicionada ao comprometimento, mas como isso não é um novo comprometimento, ela não aciona uma ação automatizada.

    Como posso reativar uma ação automática?

    É necessário "limpar" o compromisso antes de tentar reativar uma ação automática. Lembre-se de que um evento de Ameaça Detectada + Ameaça em Quarentena não é suficiente para gerar um novo evento de comprometimento (e, portanto, não é suficiente para disparar uma nova ação automatizada).

    *Exceção: A ação automatizada "Enviar arquivo para o ThreatGrid" não é afiliada a comprometimentos e é executada por detecção

    Caso usado - Recriação de laboratório

    Nº 1: Como dissemos na seção de perguntas frequentes. Os snapshots forenses são obtidos somente em caso de "comprometimento". Em outras palavras, se tentarmos acessar e baixar um arquivo mal-intencionado de um site TEST e o arquivo for sinalizado durante o download e colocado em quarentena que não é considerado um comprometimento e não aciona a ação.

    Note: Detecção de DFC, Falha de Quarentena e praticamente qualquer coisa que, pela lógica, se encaixe na categoria de evento de comprometimento deve criar Instantâneo Forense.

    Nº 2: Você só pode gerar um Instantâneo Forense uma vez em um evento comprometido exclusivo que ele não gere um instantâneo, a menos que você resolva a máquina comprometida na caixa de entrada. Se você não resolver o evento comprometido, não gerará nenhum outro snapshot.

    Exemplo: Neste laboratório, um script gera atividade mal-intencionada e, como o arquivo é excluído assim que é criado, o Secure Endpoint não conseguiu colocar o arquivo em quarentena na categoria de comprometimento.

    Secure Endpoint Events

    Agora, neste teste, você pode observar ações automatizadas e 3 coisas que aconteceram com base nas configurações.

    • O instantâneo foi criado
    • O envio foi enviado para o Threat Grid (TG)
    • O endpoint foi movido para um grupo separado criado e chamado ISOLAMENTO

    Você pode ver tudo isso nessa saída, como mostrado na imagem.

    Secure Endpoint output

    Agora, como esse endpoint está comprometido, o próximo teste para provar a teoria com um arquivo mal-intencionado semelhante, mas com um nome diferente, como mostrado na imagem.

    Secure Endpoint Events

    No entanto, como esse compromisso não foi resolvido, você só pode criar um envio de TG. Nenhum outro evento foi gravado, além de desligar o isolamento antes deste 2º teste.

    Secure Endpoint Dashboard

    Note: Observe a hora em que a ameaça foi detectada e a ação automatizada é acionada.

    O evento não poderá ser reacionado a menos que o ponto de extremidade comprometido seja resolvido. Nesse caso, o painel fica assim. Observe a porcentagem e o botão Mark Resolved junto com os eventos comprometidos. Não importa quantos eventos sejam disparados, você só pode criar um snapshot e o grande número percentual nunca mudou. Esse número representa um comprometimento dentro da sua empresa e se baseia na quantidade total de endpoints na sua empresa. Ele só muda com outra máquina comprometida. Neste exemplo, o número é alto devido a apenas 16 dispositivos no laboratório. Além disso, observe que os eventos de comprometimento são limpos automaticamente quando atingem 31 dias de idade.

    Secure Endpoint Dashboard

    A próxima etapa é criar outro evento e gerar um snapshot forense. A primeira etapa é resolver esse compromisso, clique no botão Marcar resolução. Você pode fazer isso por endpoint ou selecionar tudo na sua organização.

    Secure Endpoint Dashboard

    Observação: se você selecionar todos os comprometimentos serão redefinidos para 0%.

    Depois que o botão Marcar resolvido for selecionado e como apenas um endpoint foi comprometido no painel do Secure Endpoint é semelhante a este. E neste ponto, um novo evento comprometido na máquina de teste foi acionado.

    Secure Endpoint Dashboard

    O próximo exemplo aciona um evento com um script personalizado que cria e exclui um arquivo mal-intencionado.

    Secure Endpoint workstation detection event

    O console do Endpoint seguro novamente está comprometido, como mostrado na imagem

    Secure Endpoint Dashboard

    Aqui estão novos eventos em Ações automatizadas, como mostrado na imagem.

    Secure Endpoint Automated Actions

    Quando o nome de host em Ações automatizadas é selecionado, ele redireciona para a trajetória do dispositivo, onde você pode observar o snapshot que está sendo criado quando você expande a guia Computador, como mostrado na imagem.

    Secure Endpoint Dashboard

    E o instantâneo mais recente é criado, como mostrado na imagem.

    Secure Endpoint Dashboard

    E agora você pode ver os dados exibidos.

    Secure Endpoint Dashboard

    Dica

    Em ambientes muito grandes com milhares de endpoints e centenas de comprometimentos, você pode se deparar com situações em que a navegação para o endpoint individual pode ser um desafio. Atualmente, a única solução disponível é usar o mapa de calor e depois detalhar para um grupo específico em que seu endpoint de comprometimento é como neste exemplo abaixo.

    Secure Endpoint Dashboard

    Quando o grupo for selecionado no mapa de calor, navegue até o grupo no qual o evento foi comprometido. Como há apenas um endpoint nesse grupo, observe os 100% comprometidos que agora se baseiam no grupo específico em que estamos. Em outras palavras, se tivermos dois endpoints nesse grupo, um limpo e o outro comprometido mostrarão 50% de comprometimento.

    Secure Endpoint Dashboard

    Histórico de revisões

    Revisão Data de publicação Comentários
    2.0
    15-Oct-2021
    Versão inicial
    1.0
    15-Oct-2021
    Versão inicial
    TAC Authored

    Colaborado por engenheiros da Cisco

    • Roman Valenta
      Cisco TAC Engineer
    • Brandon Macer
      Cisco Engineer
    • Edited by Yeraldin Sanchez
      Cisco TAC Engineer

    Este documento lhe foi útil?

    FeedbackFeedback

    Contate a Cisco

    Este documento se refere a estes produtos