Aiemmin esittelimme VastatoimetXDR -asiakasohjelman Windows-versiossa.
Vastaustoimintojen avulla voit hakea tiettyjä rikosteknisiä artefakteja päätepisteistä kerätäksesi lisätietoja ja antaaksesi lisää kontekstia havaittuihin epäilyttäviin tapahtumiin liittyvään tutkimukseen. Voit myös hidastaa tai pysäyttää hyökkääjän tavoitteiden saavuttamisen ja hillitsemällä uhkia niiden havaitsemisen yhteydessä ja estämällä ne välittömästi. Tämä voidaan tarvittaessa tehdä useille päätepisteille samanaikaisesti.
Nämä ovat auttaneet merkittävästi kumppaneitamme ja asiakkaitamme havaintojen käsittelyssä, ja olemme nyt lisänneet Mac- ja Linux-agentteihimme vastatoimet.
Jotta voit käyttää Advanced Response -toimintoja, ominaisuus on otettava käyttöön käytetyissä profiileissa. Tämä asetus löytyy Windows/Mac/Linux-profiilien "General"-asetuksista.
Isäntäkäyttöjärjestelmien luonteesta johtuen kaikki alustat eivät tue kaikkia toimintoja.
Tutkintatoimet
Vastaus Toimenpide | Windows | Mac | Linux |
|---|
Hae tiedostot | Kyllä | Kyllä | Kyllä |
Powershell-historian hakeminen | Kyllä | | |
Hae tapahtumalokin merkinnät | Kyllä | | |
Hae tapahtumalokitiedostot | Kyllä | | |
Hae tapahtumalokin jäljitysmerkinnät | Kyllä | | |
Hae virustorjunnan lokitiedot | Kyllä | | |
Selaimen artefaktien hakeminen | Kyllä | | |
Hae hyppylistatiedostot | Kyllä | | |
Hae MFT | Kyllä | | |
RDP:n välimuistitiedostojen haku | Kyllä | | |
Hae rekisterin pesät | Kyllä | | |
Hae System Resource Usage Monitor -tietokantaan. | Kyllä | | |
Karttarekisteri | Kyllä | | |
Hae MBR | Kyllä | | |
Hae Amcache | Kyllä | | |
Hae Prefetch | Kyllä | | |
Hae äskettäin käytetyt | Kyllä | | |
Karttatiedostojärjestelmä | Kyllä | Kyllä | Kyllä |
Netstat | Kyllä | Kyllä | Kyllä |
Luettele prosessit | Kyllä | Kyllä | Kyllä |
Luettele ajastetut tehtävät | Kyllä | | |
Luettele palvelut | Kyllä | | |
Luettele WMI:n pysyvyys | Kyllä | | |
Prosessin muistin tyhjennys | Kyllä | | Kyllä |
Täydellinen muistin tyhjennys | Kyllä | | Kyllä |
Testiliitännät | Kyllä | | |
Rajoitustoimet
Vastaus Toimi | Windows | Mac | Linux |
|---|
Lopeta prosessi | Kyllä | Kyllä | Kyllä |
Tappaa lanka | Kyllä | | |
Korjaustoimet
Vastaus Toimi | Windows | Mac | Linux |
|---|
Tiedostojen poistaminen | Kyllä | Kyllä | Kyllä |
Poista rekisteri | Kyllä | | |
Poistaa ajastettuja tehtäviä | Kyllä | | |
Poista palvelut | Kyllä | | |
Poista WMI-pysyvyys | Kyllä | | |
Lisätietoja tapahtumatyypeistä on osoitteessa käyttöopas