Use o playbook de detecção de endpoint

  • Versão de lançamento: Zurich
  • Atualizado 31 de jul. de 2025
  • 3 min. de leitura

    • Use este playbook para investigar alertas de malware acionados em um host ou endpoint. As etapas a seguir fornecem um passo a passo das ações, tarefas e subfluxos que estão disponíveis no playbook de detecção de endpoint.

    Antes de Iniciar

    Função necessária:
    • sn_si.admin
    • flow_designer

    Certifique-se de ter instalado o spoke do Security Operations ( sn_sec_spoke ).

    Procedimento

    1. Quando o playbook é acionado e começa a ser executado, na Ação 1, você precisa verificar se o arquivo ou hash é mal-intencionado analisando os resultados da pesquisa de ameaças no SIR e coletando informações do VirusTotal, Wildfire, ThreatCrowd etc.
    2. Na Ação 2, você precisa verificar se o arquivo ou hash é malicioso ou não.
    3. Na Ação 3, se o arquivo ou hash for mal-intencionado, execute as seguintes ações:
      1. Na Ação 4, você precisa identificar a aplicação ou o processo que está sendo detectado como uma ameaça e coletar informações sobre o raciocínio de detecção para prosseguir para a listagem segura.
        Figura 1. Playbook de detecção de endpoint
        Tarefas de resposta para determinar se o arquivo não é mal-intencionado.
      2. Na Ação 5, você precisa verificar se a aplicação é de uma fonte confiável (por exemplo, Microsoft, Adobe ou outros fornecedores de software conhecidos).
      3. Na Ação 6, se a aplicação for de uma fonte confiável, você precisará executar uma ação nos alertas do CrowdStrike Falcon.
        Figura 2. Alertas do CrowdStrike Falcon
        Tarefas de resposta para executar ações nos alertas do CrowdStrike Falcon.
      4. Na Ação 7, execute as seguintes ações:
        1. Navegar até CrowdStrike Falcon > Detecções guia.
        2. Clique no alerta do CrowdStrike Falcon.
        3. Na guia Detalhes da execução, clique em Editar hash Ação na Ação de prevenção de hash.
        4. Execute as etapas necessárias.
          Nota:
          Escolha Nunca bloquear opção com cuidado, pois somente determinados hosts podem ter permissão para usar a aplicação com uma justificativa comercial válida. No entanto, alertas adicionais podem precisar ser configurados para outros hosts.
      5. Na Ação 8, se a aplicação não for de uma fonte confiável, você precisará escolher se deseja renunciar o arquivo ou a aplicação do dispositivo localmente.
        Na Ação 10, se você quiser renunciar o arquivo ou a aplicação do dispositivo localmente, execute as seguintes ações:
        1. Em Ação 11, navegue até Arquivos em quarentena e filtre o endpoint pesquisando o nome do dispositivo.
        2. Selecione o arquivo que precisa ser dispensado localmente e clique em Versão .
          Nota:
          • O arquivo ainda é executado neste endpoint específico. No entanto, a detecção e a quarentena continuam acontecendo em todos os outros hosts.
          • Para liberar em massa o arquivo de quarentena em vários hosts, selecione o nome e o status do arquivo apropriados. Clique em Selecione e selecione Versão .

        Na Ação 12, se você não quiser renunciar o arquivo ou a aplicação do dispositivo localmente, poderá redirecionar o usuário para o Suporte DE TI para solicitar a instalação das aplicações aprovadas.

    4. Na Ação 14, se o arquivo ou hash não for mal-intencionado, execute as seguintes ações:
      1. Na Ação 15, você precisa determinar se o arquivo/hash é de alto risco ou baixo risco com base na função do usuário (departamento ou posição que lida com informações confidenciais), no tipo de aplicação (ransomware, rootkit etc.) e no impacto da aplicação (quantos usuários foram afetados).
      2. Na Ação 16, se o arquivo for de alto risco, execute as seguintes ações:
        1. Na Ação 17, revise os resultados com a Equipe de inteligência contra ameaças.
        2. Na Ação 18, execute a verificação de bytes de malware no arquivo.
        3. Na Ação 19, inicie a Análise Forense.
        4. Na Ação 20, com base no resultado da Análise Forense, execute o isolamento do host e remova o arquivo/hash mal-intencionado.
        5. Na Ação 21, se as credenciais do usuário estiverem comprometidas ou a ameaça não puder ser removida facilmente, gere um tíquete DE TI para redefinir as credenciais do usuário ou recriar a imagem da máquina conforme necessário.
        6. Em Ação 22, execute o desisolamento do host.
        Figura 3. Arquivo de alto risco
        Tarefas de resposta para determinar se é um arquivo de alto risco.
      3. Na Ação 23, se o arquivo não for de alto risco, execute as seguintes ações:
        1. Navegar até CrowdStrike Falcon > Configurações guia.
        2. Na guia Configurações, navegue até Hashes de prevenção > > Carregar hash > Adicione o hash.
        3. Escolha o SO necessário e selecione Bloquear sempre .
    5. Na Ação 24, uma tarefa de resposta é criada para que o usuário conclua a revisão pós-incidente antes de fechar a tarefa.