Come verificare le segnalazioni EDR su ThreatDown by Malwarebytes
Come ci si
comporta se il modulo EDR di ThreatDown segnala una suspicious activity?
Si va nella
schermata: investigate → Suspicious Activity e si sceglie la riga relativa
all’evento su cui si vuole indagare.
Dalla
schermata successiva si possono fare diverse analisi e ricerche.
- Status: è open, closed, dropped, pending? Se è closed si può stare tranquilli, se è open, conviene prestare attenzione.
- Severity: una severità ‘HIGH’ è evidentemente più pericolosa di una MEDIUM o LOW.
- MITRE Attack & Framework: mostra quale regola MITRE ha scatenato l’evento, può dare informazioni sulla gravità e sul tipo di conseguenze che l’attività sospetta potrebbe avere. Per esempio se la causa è ‘removable media’ e la severity è low, è molto probabile che lo status sia closed e si tratti di un file legittimo che ha il solo torto di essere stato lanciato da una chiavetta USB.
- Process Graph: mostra quale processo o servizio ha lanciato il processo sospetto, e può servire per ricostruire la storia dell’attività sospetta in questione. È stato lanciato da uno script, da un’altra app, dall’utente? Il process Graph si può ingrandire e si possono visualizzare le caratteristiche di ciascun processo che ha portato all’attivazione del processo sospetto.
- Virustotal: dalla console si può accedere ad un link diretto a Virustotal, che fornisce informazioni sulle valutazioni che, del file sospetto, fanno i principali prodotti antivirus.
- Flight Recorder: se Flight recorder è stato attivato da policy, da Investigate → Flight Recorder è possibile verificare eventi di ogni tipo o la presenza del file sospetto anche in altre macchine della propria rete, facendo ricerche sulla base di hostname, nome del file etc.
Azioni sull’endpoint sospetto
Se
l’attività sospetta si rivelasse un vero e proprio malware, dalla console di
ThreatDown si possono intraprendere azioni per rimediare alle azioni compiute
da attività sospette.
- Remediation: attiva una correzione automatica delle azioni compiute dal malware sulla macchina in questione.
- Isolation: isola la macchina da ogni connessione di rete, per impedire la diffusione delle minacce ad altre macchine. Quando la macchina si trova in questo stato può essere raggiunta solo dalla Responsive Shell di ThreatDown. La Responsive Shell è una shell completa, e da essa si dare qualsiasi comando shell di Windows.
Related Articles
Suspicious Activity in OneView di ThreatDown: panoramica generale
Il monitoraggio delle attività sospette tramite EDR fornisce un’analisi preventiva di una minaccia potenzialmente dannosa sugli endpoint gestiti del tuo sito. Un’attività sospetta è un comportamento anomalo osservato e analizzato utilizzando le ...Requisiti e impostazioni del firewall per il funzionamento di ThreatDown
Affinché la comunicazione tra la console di ThreatDown by Malwarebytes e gli endpoint funzioni correttamente, è necessario configurare alcune esclusioni per il proprio firewall e per eventuali altri software di sicurezza. In questo articolo sono ...Installazione di endpoint ThreatDown su sistemi operativi Linux
ThreatDown Endpoint Protection può essere installato anche su macchine Linux. Nella pagina Download nella console Oneview ci sono istruzioni su come impostare l’origine del repository in modo che punti al repository ThreatDown Linux. Per Ubuntu, ...Guida all’Onboarding di ThreatDown OneView
Prima di iniziare Dashboard Prima di iniziare con il vero e proprio onboarding, una volta effettuato l’accesso a OneView, dai un occhio alla Dashboard. Essa offre una panoramica completa dello stato dei tuoi siti (clienti) e dispositivi. Da qui è ...ThreatDown by MalwareBytes: ricevo un errore in fase di installazione dell’endpoint agent. Cosa posso verificare?
L’installazione di un endpoint ThreatDown può fallire. In questa KB vengono fornite alcune informazioni circa gli errori di installazione, in particolare il seguente: “L’installazione guidata di Endpoint Agent è terminata prematuramente a causa di un ...