Verwenden Sie das Playbook „Endpunkterkennung“

  • Freigeben Version: Zurich
  • Aktualisiert 31. Juli 2025
  • 3 Minuten Lesedauer

    • Verwenden Sie dieses Playbook, um Malware-Warnungen zu untersuchen, die auf einem Host oder Endpunkt ausgelöst wurden. Die folgenden Schritte geben Ihnen einen Rundgang durch die Aktionen, Aufgaben und Subflows, die im Playbook „Endpunkterkennung“ verfügbar sind.

    Vorbereitungen

    Erforderliche Rolle:
    • sn_si.admin
    • flow_designer

    Stellen Sie sicher, dass Sie die Security Operations-Spoke ( sn_sec_Spoke ).

    Prozedur

    1. Wenn das Playbook ausgelöst wird und mit der Ausführung beginnt, müssen Sie in Aktion 1 überprüfen, ob die Datei oder der Hash schädlich ist, indem Sie die Ergebnisse der Bedrohungssuche in SIR analysieren und informationen von VirusTotal, Wildfire, ThreatCrowd usw. sammeln
    2. In Aktion 2 müssen Sie überprüfen, ob die Datei oder der Hash schädlich ist oder nicht.
    3. Führen Sie in Aktion 3 die folgenden Aktionen aus, wenn die Datei oder der Hash schädlich ist:
      1. In Aktion 4 müssen Sie die erkannte Anwendung oder den Prozess als Bedrohung identifizieren und Informationen über die Erkennungsgründe sammeln, um mit der sicheren Liste fortzufahren.
        Abbildung : 1. Playbook für Endpunkterkennung
        Antwortaufgaben, um festzustellen, ob die Datei nicht schädlich ist.
      2. In Aktion 5 müssen Sie überprüfen, ob die Anwendung aus einer vertrauenswürdigen Quelle stammt (z. B. Microsoft, Adobe oder andere bekannte Softwareanbieter).
      3. Wenn die Anwendung in Aktion 6 aus einer vertrauenswürdigen Quelle stammt, müssen Sie Maßnahmen für die CrowdStrike Falcon-Warnungen ergreifen.
        Abbildung : 2. CrowdStrike Falcon-Warnungen
        Antwortaufgaben, um Maßnahmen für CrowdStrike Falcon-Warnungen zu ergreifen.
      4. Führen Sie in Aktion 7 die folgenden Aktionen aus:
        1. Navigieren zu CrowdStrike Falcon > Erkennungen Registerkarte
        2. Klicken Sie auf die CrowdStrike Falcon-Warnung.
        3. Klicken Sie auf der Registerkarte Ausführungsdetails auf Bearbeiten Sie Den Hash Aktion in Hash-Präventionsaktion.
        4. Führen Sie die erforderlichen Schritte aus.
          Hinweis:
          Wählen Sie aus Nie Blockieren Option vorsichtig, da nur bestimmte Hosts die Anwendung mit einer gültigen geschäftlichen Begründung verwenden dürfen. Möglicherweise müssen jedoch zusätzliche Warnungen für andere Hosts eingerichtet werden.
      5. Wenn die Anwendung in Aktion 8 nicht aus einer vertrauenswürdigen Quelle stammt, müssen Sie auswählen, ob Sie auf die Datei oder Anwendung lokal vom Gerät verzichten möchten.
        Wenn Sie in Aktion 10 auf die Datei oder Anwendung lokal vom Gerät verzichten möchten, führen Sie die folgenden Aktionen aus:
        1. Navigieren Sie in Aktion 11 zu Dateien In Quarantäne Und filtern Sie den Endpunkt, indem Sie nach dem Gerätenamen suchen.
        2. Wählen Sie die Datei aus, auf die lokal verzichtet werden muss, und klicken Sie auf Release .
          Hinweis:
          • Die Datei wird weiterhin auf diesem bestimmten Endpunkt ausgeführt. Die Erkennung und Quarantäne erfolgt jedoch weiterhin auf allen anderen Hosts.
          • Wählen Sie den entsprechenden Dateinamen und -Status aus, um die Quarantänedatei auf mehreren Hosts Massenfreigabe zu geben. Klicken Sie auf Wählen Sie Aus , Und wählen Sie aus Release .

        Wenn Sie in Aktion 12 nicht auf die Datei oder Anwendung lokal vom Gerät verzichten möchten, können Sie den Anwender zum IT-Support umleiten, um die Installation der genehmigten Anwendungen anzufordern.

    4. Wenn die Datei oder der Hash in Aktion 14 nicht böswillig ist, führen Sie die folgenden Aktionen aus:
      1. In Aktion 15 müssen Sie anhand der Rolle des Anwenders (Abteilung oder Position, die vertrauliche Informationen verarbeitet), der Art der Anwendung (Ransomware, Rootkit usw.) und der Auswirkung der Anwendung (wie viele Anwender betroffen waren) bestimmen, ob die Datei/der Hash ein hohes Risiko oder ein geringes Risiko aufweist.
      2. Wenn die Datei in Aktion 16 eine Datei mit hohem Risiko ist, führen Sie die folgenden Aktionen aus:
        1. Überprüfen Sie in Aktion 17 die Ergebnisse mit dem Threat Intel-Team.
        2. Führen Sie in Aktion 18 den Malware-Byte-Scan für die Datei aus.
        3. Initiieren Sie in Aktion 19 die forensische Analyse.
        4. Führen Sie in Aktion 20 basierend auf dem Ergebnis der forensischen Analyse die Host-Isolierung durch, und entfernen Sie die schädliche Datei/den schädlichen Hash.
        5. Wenn in Aktion 21 die Anwenderanmeldeinformationen gefährdet sind oder die Bedrohung nicht einfach entfernt werden kann, erstellen Sie ein IT-Ticket, um die Anwenderanmeldeinformationen zurückzusetzen oder den Computer nach Bedarf neu zu erstellen.
        6. Heben Sie in Aktion 22 die Host-Isolierung auf.
        Abbildung : 3. Datei mit hohem Risiko
        Antwortaufgaben, um zu bestimmen, ob es sich um eine Datei mit hohem Risiko handelt.
      3. Wenn die Datei in Aktion 23 keine Datei mit hohem Risiko ist, führen Sie die folgenden Aktionen aus:
        1. Navigieren zu CrowdStrike Falcon > Konfigurationen Registerkarte
        2. Navigieren Sie auf der Registerkarte Konfigurationen zu Präventions-Hashes > > Hash Hochladen > Fügen Sie den Hash hinzuan.
        3. Wählen Sie das erforderliche Betriebssystem aus, und wählen Sie aus Immer Blockieren .
    5. In Aktion 24 wird eine Antwortaufgabe erstellt, damit der Anwender die Überprüfung nach dem Incident abschließen kann, bevor er die Aufgabe schließt.