為了有效使用 TIE 功能,請執行可重複且可擴充的工作流程。 理想的流程會定期循環一個多階段的漏斗,優先處理受管理環境中的影響大和/或普遍性高的詳細分析。
活動:
TIE 可在 ePolicy Orchestrator (ePO) 中執行以下活動。
-
評估
[TIE 伺服器檔案] 和 [TIE 伺服器憑證] 的立即可用儀表板,包括上週偵測到的新檔案、已變更檔案和可疑檔案。 您可以使用儀表板快速評估環境的健康狀況。 它們為優先順序和分析階段提供了有用的進入點。 您可以在儀表板圖表和表格中,向下鑽研匯總資料的詳細信息。
儀表板 → TIE 伺服器檔案
儀表板 → TIE 伺服器憑證
您還可以使用已有的查詢和快速搜尋工具,建立自訂儀表板。
儀表板 → 儀表板動作 → 新增
-
排定優先順序:
[TIE 信用評價] 頁面包括固定的篩選器來排定分析的優先順序,關注惡意或未知檔案。
TIE 信用評價 → 檔案搜尋 → 自訂 → 惡意檔案
TIE 信用評價 → 檔案搜尋 → 自訂 → GTI 中的未知項
您可以使用 ePO 查詢系統建立自訂篩選器,並使用資料點 (如信用評價分數和提供者) 以及檔案屬性 (如產品或公司名稱)。
TIE 信用評價 → 檔案搜尋 → 自訂 → 新增
-
分析:
選取某個項目進行進一步分析時,可以向下鑽研 [關聯的檔案詳細資料] 標籤上的詳細資料,以及 [其他資訊] 標籤上的行為見解。
TIE 提供有關本機普遍性的寶貴公司特定情報,包括 [企業計數] 和 [第一連絡人]。
ePO [動作] 功能表可以從檔案轉到其上層檔案、其簽署憑證或執行檔案的主機清單。
TIE 信用評價 → 選取項目 → 動作 → 關聯的檔案詳細資料
TIE 信用評價 → 選取項目 → 動作 → 上層檔案
TIE 信用評價 → 選取項目 → 動作 → 關聯的憑證詳細資料
TIE 信用評價 → 選取項目 → 動作 → 執行檔案的位置
-
反應:
對可疑指標的反應選項有多個:
- 手動設定覆寫可讓您更正已執行的惡意軟體,並防止將來執行。
TIE 信用評價 → 選取項目 → 動作 → 非常可能為惡意檔案/非常可能為信任檔案
- 將系統標記為已洩漏,並使用 ePO 查詢列出系統。
系統樹狀目錄 → 選取項目 → 動作 → 系統健康指標 → 設定可能已洩漏
工作流程:
工作流程循環如下所示:
擴充
若要隨著指標數量增大而擴充:
- 使用預先定義的註解來標記手動覆寫,以使用自訂篩選器來搜尋標記,並將分析分解為多個事件回應者。
- 使用針對系統健康指標的自訂查詢來指出已洩漏系統,並使修補操作能夠由不同的專門團隊完成。
預備:
若要新增基本映像至受管理環境並盡可能減少中斷:
- 如果您的 TIE 與 Advanced Threat Defense 整合,則可以在新的或更新的基本映像中手動執行未知的二進位檔案,以便在廣泛發佈映像之前強制對其進行沙箱分析。
- 如果在新的或更新的映像中的二進位檔案沒有 Global Threat Intelligence 信用評價,請執行 GetClean或GetSusp 工具,以掃描樣本。 如需進一步詳細資料,請參閱 KB69385。
- 使用 STIX 匯入精靈簽入新檔案,因為它可讓您在實際匯入之前評估本機情報資訊,例如信用評價以及在雜湊演算法上的普遍性。
TIE 信用評價 → 檔案覆寫 → 動作 → STIX 匯入