Para usar os recursos do TIE de maneira eficaz, siga um fluxo de trabalho escalável. O processo ideal periodicamente circula um funil de vários estágios que prioriza a análise detalhada.
Realizadas
O TIE ativa as seguintes atividades no ePolicy Orchestrator:
-
Avaliar
Dashboards desatualizados para arquivos do servidor TIE e certificados do servidor TIE incluem arquivos novos, alterados e suspeitos detectados durante a última semana. Você pode usar os Dashboards para avaliar rapidamente a integridade de um ambiente. Eles fornecem pontos de entrada úteis para as fases de priorização e análise. Você pode fazer busca detalhada em gráficos dashboard e tabelas em detalhes dos dados agregados.
Dashboards → Arquivos do servidor TIE
Dashboards → Certificados do servidor TIE
Dashboards do → TIE inteligência contra ameaças do servidor
Dashboards do → TIE Server ATD envios
Dashboards → Infraestrutura do Servidor TIE
Dashboards → o servidor TIE substitui
Dashboards → Limpeza de dados do Servidor TIE
Dashboards → os arquivos desconhecidos não assinados do servidor TIE
Dashboards → o servidor TIE assinou arquivos desconhecidos
Dashboards → vínculo de servidor TIE prioridades de desconhecidas do Dashboard
Você também pode criar dashboards personalizados usando consultas já disponíveis e widgets de pesquisa rápida.
Dashboards → Dashboard Actions → New
-
Priorizando
A página reputações do TIE inclui filtros conlatados para priorizar a análise. Eles se concentram em arquivos mal-intencionados ou desconhecidos.
Reputações do TIE → Pesquisa de arquivos → Personalizar → Arquivos maliciosos
Reputações do TIE → Pesquisa de arquivos → Personalizar → Desconhecido em GTI
Você pode criar filtros personalizados usando o sistema de consulta do ePO. Você pode usar pontos de dados, como pontuação de reputação e provedor, e arquivo atributos como nome do produto ou da empresa.
TIE Reputations → File Search → Custom → Add
-
Análise
Quando um item é selecionado para análise adicional, você pode fazer duas coisas. Você pode detalhar os detalhes sobre a guia detalhes do arquivo associado e obter informações sobre o comportamento na guia informação adicional.
O TIE fornece inteligência valiosa para a empresa na prevalência local, incluindo a contagem empresarial e o primeiro contato.
O menu de ações do ePO pode dinamizar a partir de um arquivo para o seu certificado de assinatura, ou para a lista de hosts onde o arquivo foi executado.
Reputações do TIE → Selecionar item → Ações → Detalhes do arquivo associado
Reputações do TIE → Selecionar item → Ações → Pais do arquivo
Reputações do TIE → Selecionar item → Ações → Detalhes do certificado associado
Reputações do TIE → Selecionar item → Action → Onde o arquivo foi executado
-
Reagindo
Há várias opções para reagir a indicadores suspeitos:
- A configuração manual das substituições permite que você corrija já em execução malware e proteja-se contra futuras execuções.
TIE Reputations → Select Item → Actions → File Most Likely Malicious or File Most Likely Trusted → Analyze Impact → Confirm Override
- Marque os sistemas como comprometidos e use as consultas do ePO para listá-los.
System Tree → Select Item → Actions → System Health Indicator → Set Possibly Compromised
Processos
O ciclo de fluxo de trabalho tem a seguinte aparência:
Chegando
Para dimensionar à medida que o número de indicadores aumenta:
- Use comentários predefinidos para marcar substituições manuais para usar filtros personalizados a fim de Pesquisar marcas e dividir a análise em vários respondentes de incidente.
- Use uma consulta personalizada em relação aos indicadores de integridade do sistema. A consulta identifica os sistemas comprometidos e permite que as ações de correção sejam concluídas por meio de uma equipe diferente e dedicada.
Preparo
Para adicionar novas imagens base ao ambiente gerenciado com o mínimo de interrupções:
- Se o seu TIE estiver integrado com o Advanced Threat Defense, execute os binários desconhecidos manualmente em uma imagem base nova ou atualizada. Essa ação força a análise da área restrita antes da distribuição ampla da imagem.
- Se houver binários sem uma reputação de Global Threat Intelligence em uma imagem nova ou atualizada, execute as ferramentas do GetClean ou do GetSusp para que as amostras sejam varridas.
Consulte o artigo reparado a partir do último KB69385-perguntas frequentes para GetSusp.
- Use o assistente de importação de STIX para fazer check-in de novos arquivos. Ele permite que você avalie informações de inteligência local como reputações e predomínio nos hashes antes da importação real.
TIE Reputations → File Overrides → Actions → STIX Import