Usar o playbook de detecção de endpoint

  • Versão de lançamento: Xanadu
  • Atualizado 1 de ago. de 2024
  • 3 min. de leitura

    • Use este playbook para investigar alertas de malware acionados em um host ou endpoint. As etapas a seguir fornecem um passo a passo das ações, tarefas e subfluxos que estão disponíveis no playbook de detecção de endpoint.

    Antes de Iniciar

    Função necessária:
    • sn_si.admin
    • flow_designer

    Verifique se você instalou o Spoke das Operações de segurança (sn_sec_spoke).

    Procedimento

    1. Quando o playbook é acionado e começa a ser executado, na Ação 1, você precisa verificar se o arquivo ou hash é mal-intencionado analisando os resultados da pesquisa de ameaças no SIR e coletando informações de VirusTotal, WildFire, ThreatCrowd etc.
    2. Na Ação 2, você precisa verificar se o arquivo ou hash é mal-intencionado ou não.
    3. Na Ação 3, se o arquivo ou hash for mal-intencionado, execute as seguintes ações:
      1. Na Ação 4, você precisa identificar a aplicação ou o processo que está sendo detectado como uma ameaça e coletar informações sobre o raciocínio da detecção para prosseguir para a listagem segura.
        Figura 1. Playbook de detecção de endpoint
        Tarefas de resposta para determinar se o arquivo não é mal-intencionado.
      2. Na Ação 5, você precisa verificar se a aplicação é de uma fonte confiável (por exemplo, Microsoft, Adobe ou outros fornecedores de software conhecidos).
      3. Na Ação 6, se a aplicação for de uma fonte confiável, você precisará executar uma ação nos alertas do CrowdStrike Falcon.
        Figura 2. Alertas do CrowdStrike Falcon
        Tarefas de resposta para agir em alertas do CrowdStrike Falcon.
      4. Na Ação 7, execute as seguintes ações:
        1. Navegar até CrowdStrike Falcon > Detecções guia.
        2. Clique no alerta do CrowdStrike Falcon.
        3. Na guia Detalhes da execução, clique em Editar ação de hash em Ação de prevenção de hash.
        4. Execute as etapas necessárias.
          Nota:
          Escolha a opção Nunca bloquear com cuidado, pois somente determinados hosts podem ter permissão para usar a aplicação com uma justificativa de negócios válida. No entanto, alertas adicionais podem precisar ser configurados para outros hosts.
      5. Na Ação 8, se a aplicação não for de uma fonte confiável, você precisará escolher se deseja dispensar o arquivo ou a aplicação do dispositivo localmente.
        Na Ação 10, se você quiser dispensar o arquivo ou a aplicação do dispositivo localmente, execute as seguintes ações:
        1. Na Ação 11, navegue até a guia Arquivos em quarentena e filtre o endpoint pesquisando o nome do dispositivo.
        2. Selecione o arquivo que precisa ser dispensado localmente e clique em Liberar.
          Nota:
          • O arquivo ainda é executado neste endpoint específico. No entanto, a detecção e a quarentena continuam acontecendo em todos os outros hosts.
          • Para liberar em massa o arquivo de quarentena em vários hosts, selecione o nome e o status do arquivo apropriados. Clique em Selecionare selecione Versão.

        Na Ação 12, se você não quiser dispensar o arquivo ou a aplicação do dispositivo localmente, poderá redirecionar o usuário para o Suporte de TI para solicitar a instalação das aplicações aprovadas.

    4. Na Ação 14, se o arquivo ou hash não for mal-intencionado, execute as seguintes ações:
      1. Na Ação 15, você precisa determinar se o arquivo/hash é de alto risco ou baixo risco com base na função do usuário (departamento ou posição que lida com informações confidenciais), o tipo de aplicação (ransomware, root kit etc.) e o impacto da aplicação (quantos usuários foram afetados).
      2. Na Ação 16, se o arquivo for de alto risco, execute as seguintes ações:
        1. Na Ação 17, revise os resultados com a equipe de informações sobre ameaças.
        2. Na Ação 18, execute a verificação de byte de malware no arquivo.
        3. Na Ação 19, inicie a Análise forense.
        4. Na Ação 20, com base no resultado da análise forense, execute o isolamento do host e remova o arquivo/hash mal-intencionado.
        5. Na Ação 21, se as credenciais do usuário estiverem comprometidas ou a ameaça não puder ser removida facilmente, gere um tíquete de TI para redefinir as credenciais do usuário ou recriar a imagem da máquina conforme necessário.
        6. Na Ação 22, execute o cancelamento do isolamento de host.
        Figura 3. Arquivo de alto risco
        Tarefas de resposta para determinar se é um arquivo de alto risco.
      3. Na Ação 23, se o arquivo não for um arquivo de alto risco, execute as seguintes ações:
        1. Navegar até CrowdStrike Falcon > Configurações guia.
        2. Na guia Configurações, navegue até Hashes de prevenção > > Carregar hash > Adicionar o hash.
        3. Escolha o SO necessário e selecione Sempre bloquear.
    5. Na Ação 24, uma tarefa de resposta é criada para que o usuário conclua a revisão pós-incidente antes de fechar a tarefa.