Utiliser le playbook de détection des points de terminaison

  • Rversion finale: Zurich
  • Mis à jour 31 juil. 2025
  • 3 minutes de lecture

    • Utilisez ce playbook pour enquêter sur les alertes de programme malveillant déclenchées sur un hôte ou un point de terminaison. Les étapes suivantes vous donnent une procédure pas à pas des actions, des tâches et des flux secondaires disponibles dans le playbook de détection des points de terminaison.

    Avant de commencer

    Rôle requis :
    • sn_si.admin
    • flow_designer

    Assurez-vous d’avoir installé Security Operations Spoke (sn_sec_spoke).

    Procédure

    1. Lorsque le playbook est déclenché et commence à s’exécuter, dans l’action 1, vous devez vérifier si le fichier ou le hachage est malveillant en analysant les résultats de la recherche de menaces dans SIR et en recueillant des informations à partir de VirusTotal, WildFire, ThreatCrowd, etc.
    2. Dans l’action 2, vous devez vérifier si le fichier ou le hachage est malveillant ou non.
    3. Dans l’action 3, si le fichier ou le hachage est malveillant, effectuez les actions suivantes :
      1. Dans l’action 4, vous devez identifier l’application ou le processus détecté comme une menace et recueillir des informations sur le raisonnement de détection pour continuer vers la liste sûre.
        Figure 1. Playbook de détection des points de terminaison
        Tâches de réponse pour déterminer si le fichier n’est pas malveillant.
      2. Dans l’action 5, vous devez vérifier si l’application provient d’une source fiable (par exemple, Microsoft, Adobe ou d’autres fournisseurs de logiciels bien connus).
      3. Dans l’action 6, si l’application provient d’une source fiable, vous devez prendre des mesures sur les alertes CrowdStrike Falcon.
        Figure 2. Alertes CrowdStrike Falcon
        Tâches de réponse pour prendre des mesures sur les alertes CrowdStrike Falcon.
      4. Dans l’action 7, effectuez les actions suivantes :
        1. Accédez à la CrowdStrike Falcon > Détections onglet.
        2. Cliquez sur l’alerte CrowdStrike Falcon.
        3. Sous l’onglet Détails de l’exécution, cliquez sur Modifier l’action de hachage dans Action de prévention du hachage.
        4. Effectuez les étapes requises.
          Remarque :
          Choisissez l’option Ne jamais bloquer avec soin, car seuls certains hôtes peuvent être autorisés à utiliser l’application avec une justification commerciale valable. Toutefois, des alertes supplémentaires peuvent devoir être configurées pour d’autres hôtes.
      5. Dans l’action 8, si l’application ne provient pas d’une source fiable, vous devez choisir si vous souhaitez supprimer le fichier ou l’application de l’appareil localement.
        Dans l’action 10, si vous souhaitez supprimer le fichier ou l’application du périphérique localement, effectuez les actions suivantes :
        1. Dans l’action 11, accédez à l’onglet Fichiers en quarantaine et filtrez le point de terminaison en recherchant le nom de l’appareil.
        2. Sélectionnez le fichier qui doit être supprimé localement, puis cliquez sur Libérer.
          Remarque :
          • Le fichier s’exécute toujours sur ce point de terminaison spécifique. Cependant, la détection et la quarantaine continuent de se produire sur tous les autres hôtes.
          • Pour libérer en bloc le fichier de quarantaine sur plusieurs hôtes, sélectionnez le nom et l’état de fichier appropriés. Cliquez sur Sélectionner, puis sélectionnez Mettre en production.

        Dans l’action 12, si vous ne souhaitez pas supprimer le fichier ou l’application de l’appareil localement, vous pouvez rediriger l’utilisateur vers le support informatique pour demander l’installation des applications approuvées.

    4. Dans l’action 14, si le fichier ou le hachage n’est pas malveillant, effectuez les actions suivantes :
      1. Dans l’action 15, vous devez déterminer si le fichier/hachage présente un risque élevé ou faible en fonction du rôle de l’utilisateur (département ou poste qui gère des informations sensibles), du type d’application (rançongiciel, rootkit...) et de l’impact de l’application (combien d’utilisateurs ont été touchés).
      2. Dans l’action 16, s’il s’agit d’un fichier à haut risque, effectuez les actions suivantes :
        1. Dans l’action 17, examinez les résultats avec l’équipe Threat Intelligence.
        2. Dans l’action 18, exécutez l’analyse des octets de programme malveillant sur le fichier.
        3. Dans l’action 19, lancez une analyse médico-légale.
        4. Dans l’action 20, en fonction du résultat de l’analyse médico-légale, isolez l’hôte et supprimez le fichier/hachage malveillant.
        5. Dans l’action 21, si les informations d’identification de l’utilisateur sont compromises ou si la menace ne peut pas être supprimée facilement, créez un ticket informatique pour réinitialiser les informations d’identification de l’utilisateur ou recréer l’image de l’ordinateur selon les besoins.
        6. Dans l’action 22, procédez à la désisolation de l’hôte.
        Figure 3. Fichier à risque élevé
        Tâches de réponse pour déterminer s’il s’agit d’un fichier à haut risque.
      3. Dans l’action 23, si le fichier n’est pas un fichier à haut risque, effectuez les actions suivantes :
        1. Accédez à la CrowdStrike Falcon > Configurations onglet.
        2. Depuis l’onglet Configurations, accédez à Hachages de prévention > > Hachage de chargement > Ajouter le hachage.
        3. Choisissez le système d’exploitation requis, puis sélectionnez Toujours bloquer.
    5. Dans l’action 24, une tâche de réponse est créée pour que l’utilisateur termine l’examen post-incident avant de fermer la tâche.