Précédemment, nous avons présenté Actions de réponse pour la version Windows de notre client XDR.
Grâce aux actions de réponse, vous pouvez extraire des artefacts forensiques spécifiques des points finaux afin de recueillir davantage d'informations et de fournir un contexte supplémentaire à une enquête sur des événements suspects qui ont été détectés. Vous pouvez également ralentir ou empêcher un attaquant d'atteindre ses objectifs en contenant les menaces au moment où elles sont découvertes et en les bloquant immédiatement. Cette opération peut être effectuée sur plusieurs points d'accès en même temps si nécessaire.
Ces actions ont considérablement aidé nos partenaires et nos clients à travailler sur les détections, et nous avons maintenant ajouté les actions de réponse à nos agents Mac et Linux.
Pour utiliser les actions Advanced Response, la fonctionnalité doit être activée dans les profils utilisés. Ce paramètre se trouve dans les paramètres "Généraux" des profils Windows/Mac/Linux.
En raison de la nature des systèmes d'exploitation hôtes, toutes les plateformes ne prennent pas en charge toutes les actions.
Actions d'enquête
Action de réponse | Fenêtres | Mac | Linux |
|---|
Récupérer des fichiers | Oui | Oui | Oui |
Récupérer l'historique Powershell | Oui | | |
Récupérer les entrées du journal des événements | Oui | | |
Récupérer les fichiers du journal des événements | Oui | | |
Récupérer les entrées de traçage du journal des événements | Oui | | |
Récupérer les journaux de l'antivirus | Oui | | |
Récupérer les artefacts du navigateur | Oui | | |
Récupérer les fichiers jumplist | Oui | | |
Récupérer MFT | Oui | | |
Récupérer les fichiers de cache RDP | Oui | | |
Récupérer les ruches du registre | Oui | | |
Récupérer la base de données System Resource Usage Monitor | Oui | | |
Registre des cartes | Oui | | |
Récupérer le MBR | Oui | | |
Récupérer Amcache | Oui | | |
Récupérer Prévoir | Oui | | |
Récupérer les données récemment consultées | Oui | | |
Cartographier le système de fichiers | Oui | Oui | Oui |
Netstat | Oui | Oui | Oui |
Énumérer les processus | Oui | Oui | Oui |
Énumérer les tâches programmées | Oui | | |
Énumérer les services | Oui | | |
Énumérer la persistance WMI | Oui | | |
Vidage de la mémoire du processus | Oui | | Oui |
Vidage complet de la mémoire | Oui | | Oui |
Tester les connexions | Oui | | |
Mesures de confinement
Action de réponse | Fenêtres | Mac | Linux |
|---|
Tuer le processus | Oui | Oui | Oui |
Tuer le fil | Oui | | |
Mesures d'assainissement
Action de réponse | Fenêtres | Mac | Linux |
|---|
Supprimer des fichiers | Oui | Oui | Oui |
Supprimer le registre | Oui | | |
Supprimer des tâches programmées | Oui | | |
Supprimer les services | Oui | | |
Supprimer la persistance WMI | Oui | | |
Pour plus d'informations sur les types d'événements, veuillez consulter le site web de la Commission européenne. guide de l'utilisateur