Zuvor hatten wir folgende Themen vorgestellt Reaktion Maßnahmen für die Windows-Version unseres Clients XDR.
Mit Response-Aktionen können Sie bestimmte forensische Artefakte von Endpunkten abrufen, um weitere Informationen zu sammeln und einen weiteren Kontext für eine Untersuchung verdächtiger Ereignisse zu liefern, die entdeckt wurden. Sie können einen Angreifer auch daran hindern, seine Ziele zu erreichen, indem Sie Bedrohungen eindämmen, sobald sie entdeckt werden, und sie sofort blockieren. Dies kann bei Bedarf an mehreren Endpunkten gleichzeitig geschehen.
Diese haben unsere Partner und Kunden bei der Arbeit mit Erkennungen erheblich unterstützt, und wir haben unsere Mac- und Linux-Agenten jetzt um Response Actions erweitert.
Um Advanced Response Aktionen zu verwenden, muss die Funktion in den verwendeten Profilen aktiviert sein. Diese Einstellung finden Sie in den "Allgemeinen" Einstellungen der Windows/Mac/Linux-Profile.
Aufgrund der Beschaffenheit der Host-Betriebssysteme unterstützen nicht alle Plattformen alle Aktionen.
Ermittlungsmaßnahmen
Antwort Aktion | Windows | Mac | Linux |
|---|
Dateien abrufen | Ja | Ja | Ja |
Abrufen des Powershell-Verlaufs | Ja | | |
Abrufen von Ereignisprotokolleinträgen | Ja | | |
Abrufen von Ereignisprotokolldateien | Ja | | |
Abrufen von Ereignisprotokoll-Tracing-Einträgen | Ja | | |
Abrufen von Anti-Virus-Protokollen | Ja | | |
Abrufen von Browser-Artefakten | Ja | | |
Abrufen von Jumplist-Dateien | Ja | | |
MFT abrufen | Ja | | |
Abrufen von RDP-Cache-Dateien | Ja | | |
Registry Hives abrufen | Ja | | |
Abrufen der Datenbank von System Resource Usage Monitor | Ja | | |
Kartenregistrierung | Ja | | |
MBR abrufen | Ja | | |
Amcache abrufen | Ja | | |
Prefetch abrufen | Ja | | |
Kürzlich zugegriffene Informationen abrufen | Ja | | |
Dateisystem abbilden | Ja | Ja | Ja |
Netstat | Ja | Ja | Ja |
Prozesse aufzählen | Ja | Ja | Ja |
Geplante Aufgaben aufzählen | Ja | | |
Dienste aufzählen | Ja | | |
Aufzählung der WMI-Persistenz | Ja | | |
Prozessspeicherauszug | Ja | | Ja |
Vollständiger Speicherauszug | Ja | | Ja |
Verbindungen testen | Ja | | |
Maßnahmen zur Eindämmung
Antwort Aktion | Windows | Mac | Linux |
|---|
Prozess beenden | Ja | Ja | Ja |
Faden töten | Ja | | |
Abhilfemaßnahmen
Antwort Aktion | Windows | Mac | Linux |
|---|
Dateien löschen | Ja | Ja | Ja |
Registry löschen | Ja | | |
Geplante Aufgaben löschen | Ja | | |
Dienste löschen | Ja | | |
WMI-Persistenz löschen | Ja | | |
Weitere Informationen zu den Ereignistypen finden Sie in der Benutzerhandbuch