Utiliser le playbook Endpoint Detection

  • Rversion finale: Xanadu
  • Mis à jour 1 août 2024
  • 3 minutes de lecture

    • Utilisez ce playbook pour examiner les alertes de programme malveillant déclenchées sur un hôte ou un point de terminaison. Les étapes suivantes vous donnent un aperçu des actions, des tâches et des flux secondaires disponibles dans le playbook de détection d’un point de terminaison.

    Avant de commencer

    Rôle requis :
    • sn_si.admin
    • flow_designer

    Assurez-vous d’avoir installé le spoke Security Operations (sn_sec_spoke).

    Procédure

    1. Lorsque le playbook est déclenché et commence à s’exécuter, dans l’action 1, vous devez vérifier si le fichier ou le hachage est malveillant en analysant les résultats de la recherche de menace dans SIR et en recueillant des informations auprès de VirusTotal, WildFire, ThreatCrowd, entre autres.
    2. Dans l’action 2, vous devez vérifier si le fichier ou le hachage est malveillant ou non.
    3. Dans l’action 3, si le fichier ou le hachage est malveillant, effectuez les actions suivantes :
      1. Dans l’action 4, vous devez identifier l’application ou le processus détecté comme une menace et recueillir des informations sur le raisonnement de détection pour poursuivre vers la liste sécurisée.
        Figure 1. Playbook de détection d’un point de terminaison
        Tâches de réponse pour déterminer si le fichier n’est pas malveillant.
      2. Dans l’action 5, vous devez vérifier si l’application provient d’une source fiable (par exemple, Microsoft, Adobe ou d’autres fournisseurs de logiciels bien connus).
      3. Dans Action 6, si l’application provient d’une source fiable, vous devez agir sur les alertes CrowdStrike Falcon.
        Figure 2. Alertes CrowdStrike Falcon
        Tâches de réponse pour prendre des mesures sur les alertes CrowdStrike Falcon.
      4. Dans l’action 7, effectuez les actions suivantes :
        1. Accédez à la CrowdStrike Falcon > Détections onglet.
        2. Cliquez sur l’alerte CrowdStrike Falcon.
        3. Sous l’onglet Détails de l’exécution, cliquez sur Modifier l’action de hachage dans l’action de prévention du hachage.
        4. Effectuez les étapes requises.
          Remarque :
          Choisissez l’option Ne jamais bloquer avec soin, car seuls certains hôtes peuvent être autorisés à utiliser l’application avec une justification commerciale valide. Toutefois, il peut être nécessaire de configurer des alertes supplémentaires pour d’autres hôtes.
      5. Dans Action 8, si l’application ne provient pas d’une source fiable, vous devez choisir si vous souhaitez supprimer le fichier ou l’application de l’appareil localement.
        Dans l’action 10, si vous souhaitez supprimer localement le fichier ou l’application de l’appareil, effectuez les actions suivantes :
        1. Dans l’action 11, accédez à l’onglet Fichiers en quarantaine et filtrez le point de terminaison en recherchant le nom de l’appareil.
        2. Sélectionnez le fichier qui doit faire l’objet d’une levée locale, puis cliquez sur Libérer.
          Remarque :
          • Le fichier s’exécute toujours sur ce point de terminaison spécifique. Cependant, la détection et la mise en quarantaine continuent de se produire sur tous les autres hôtes.
          • Pour libérer en bloc le fichier de quarantaine sur plusieurs hôtes, sélectionnez le nom et l’état de fichier appropriés. Cliquez sur Sélectionner, puis sélectionnez Version.

        Dans l’action 12, si vous ne souhaitez pas supprimer localement le fichier ou l’application de l’appareil, vous pouvez rediriger l’utilisateur vers l’assistance informatique pour demander l’installation des applications approuvées.

    4. Dans l’action 14, si le fichier ou le hachage n’est pas malveillant, effectuez les actions suivantes :
      1. Dans l’action 15, vous devez déterminer si le fichier/hachage présente un risque élevé ou faible en fonction du rôle de l’utilisateur (service ou poste qui traite des informations sensibles), du type d’application (rançongiciel, rootkit...) et de l’impact de l’application (combien d’utilisateurs ont été impactés).
      2. Dans l’action 16, s’il s’agit d’un fichier à haut risque, effectuez les actions suivantes :
        1. Dans l’action 17, examinez les résultats avec l’équipe Threat Intel.
        2. Dans l’action 18, exécutez l’analyse d’octets de programme malveillant sur le fichier.
        3. Dans l’action 19, lancez l’analyse médico-légale.
        4. Dans l’action 20, en fonction du résultat de l’analyse médico-légale, procédez à l’isolement de l’hôte et supprimez le fichier/hachage malveillant.
        5. Dans l’action 21, si les informations d’identification de l’utilisateur sont compromises ou si la menace ne peut pas être supprimée facilement, créez un ticket informatique pour réinitialiser les informations d’identification de l’utilisateur ou recréer l’image de la machine si nécessaire.
        6. Dans l’action 22, procédez à la désisolation de l’hôte.
        Figure 3. Fichier à haut risque
        Tâches de réponse pour déterminer s’il s’agit d’un fichier à haut risque.
      3. Dans l’action 23, s’il ne s’agit pas d’un fichier à haut risque, effectuez les actions suivantes :
        1. Accédez à la CrowdStrike Falcon > Configurations onglet.
        2. Depuis l’onglet Configurations, accédez à Hachages de prévention > > Charger un hachage > Ajouter le hachage.
        3. Choisissez le système d’exploitation requis, puis sélectionnez Toujours bloquer.
    5. Dans l’action 24, une tâche de réponse est créée pour que l’utilisateur termine la revue post-incident avant de fermer la tâche.