Tidigare har vi introducerat Svarsåtgärder för Windows-versionen av vår XDR -klient.
Med svarsåtgärder kan du hämta specifika forensiska artefakter från slutpunkter för att samla in mer information och ge ytterligare sammanhang till en utredning kring misstänkta händelser som har upptäckts. Du kan också sakta ner eller stoppa en angripare från att uppnå sina mål genom att begränsa hoten när de upptäcks och blockera dem omedelbart. Detta kan göras på flera slutpunkter samtidigt om det behövs.
Dessa har varit till stor hjälp för våra partners och kunder när de arbetar med detektioner, och vi har nu lagt till Response Actions i våra Mac- och Linux-agenter.
För att kunna använda Advanced Response åtgärder måste funktionen vara aktiverad i de profiler som används. Den här inställningen finns i inställningarna "Allmänt" i Windows/Mac/Linux-profilerna.
På grund av värdoperativsystemens karaktär är det inte alla plattformar som stöder alla åtgärder.
Utredningsåtgärder
Svar Åtgärd | Fönster | Mac | Linux |
|---|
Hämta filer | Ja | Ja | Ja |
Hämta Powershell-historik | Ja | | |
Hämta poster i händelseloggen | Ja | | |
Hämta filer i händelseloggen | Ja | | |
Hämta spårningsposter i händelseloggen | Ja | | |
Hämta Anti-Virus-loggar | Ja | | |
Hämta artefakter från webbläsaren | Ja | | |
Hämta jumplistfiler | Ja | | |
Hämta MFT | Ja | | |
Hämta RDP-cachefiler | Ja | | |
Hämta registerhives | Ja | | |
Hämta databasen System Resource Usage Monitor | Ja | | |
Kartregister | Ja | | |
Hämta MBR | Ja | | |
Hämta Amcache | Ja | | |
Hämta Förhandshämtning | Ja | | |
Hämta nyligen öppnade filer | Ja | | |
Kartlägga filsystem | Ja | Ja | Ja |
Netstat | Ja | Ja | Ja |
Räkna upp processer | Ja | Ja | Ja |
Räkna upp schemalagda uppgifter | Ja | | |
Räkna upp tjänster | Ja | | |
Räkna upp WMI-persistens | Ja | | |
Dumpning av processminne | Ja | | Ja |
Fullständig minnesdump | Ja | | Ja |
Testa anslutningar | Ja | | |
Åtgärder för begränsning
Svar Åtgärd | Fönster | Mac | Linux |
|---|
Döda processen | Ja | Ja | Ja |
Döda tråden | Ja | | |
Åtgärder för sanering
Svar Åtgärd | Fönster | Mac | Linux |
|---|
Radera filer | Ja | Ja | Ja |
Radera register | Ja | | |
Ta bort schemalagda uppgifter | Ja | | |
Ta bort tjänster | Ja | | |
Ta bort WMI-persistens | Ja | | |
För mer information om evenemangstyperna, vänligen se Användarhandbok