Analisi degli avvisi – Azioni correttive
Sull'endpoint
Se durante l'analisi degli avvisi si rileva che un endpoint sta eseguendo un malware, è possibile eseguire le seguenti azioni correttive su tale endpoint.
La funzionalità di isolamento e ripristino degli endpoint consente a IR di isolare l'endpoint dalla rete quando esegue un malware, per garantire che il malware non si diffonda ad altri endpoint.
Quando l'endpoint è isolato, IR esegue un'indagine e risolve i problemi di sicurezza. Una volta che l'endpoint è pulito, IR può ricollegare l'endpoint a Internet.
- Isolare: Questa azione isolerà l'endpoint dalla rete. Questa azione garantirà che il malware non si diffonda nella rete. Questa opzione è disponibile solo se l'endpoint è infetto. Dopo l'isolamento, IR esegue un'indagine e risolve i problemi di sicurezza.
- ricollegare: Questa azione ricollegherà l'endpoint alla rete. Una volta che l'endpoint è pulito, IR può ricollegare l'endpoint alla rete con questa azione. Questa opzione è disponibile solo se l'endpoint è isolato.
In archivio
Durante l'analisi degli avvisi, se si rileva un'attività sospetta su un file, è possibile eseguire le seguenti azioni correttive su tale file.
- Kill: questa azione ucciderà l'attività del processo/file. Nota che il file sarà ancora disponibile sul computer host e potrà essere generato/attivato in seguito. Questa opzione è disponibile solo se il file ha generato un processo attivo. Puoi controllare l'ora di inizio di quel processo nella scheda Process Details. Questa opzione non è disponibile per un processo terminato.
- Quarantena: puoi mettere in quarantena un file sul PC host. Questa azione garantirà che il processo non verrà avviato dal file la volta successiva. Puoi ripristinare un file in quarantena in qualsiasi momento utilizzando il pulsante Ripristina. L'azione Quarantena potrebbe fallire se l'accesso del sensore al file o alla cartella viene negato sul PC host. Non puoi mettere in quarantena file di sistema validi o installareled file di programma poiché questi file sono inseriti nella Whitelist per impostazione predefinita durante l'installazioneled. Nota: l'opzione Kill verrà visualizzata solo per i file eseguibili, oltre alle opzioni Quarantine e Restore. Per gli altri file, verranno visualizzate le opzioni Quarantine e Restore.
Sulle voci del Registro
Dall'avviso, puoi navigare al file di processo che ha generato il file regedit.exe che viene utilizzato per creare/modificare voci nel registro di sistema. Cliccando su Values Created verranno visualizzate le voci del registro nel riquadro di destra.
Per tutte le chiavi di registro create a seguito di attività sospette, è possibile selezionare le chiavi di registro e fare clic su Elimina.
Nota: potrebbe non essere possibile eliminare una voce del registro che è stata rinominata o che è già stata eliminata.
Passaggio dalla visualizzazione Timeline alla visualizzazione Tipo
Questa vista consente di visualizzare l'analisi Alert per un host in termini di tipi di attività attivate dal processo. Possono essere azioni file, processi, reti o tipi di Registro.
- Attualmente ti trovi (IR) nella visualizzazione Cronologia per l'analisi degli avvisi su un host.
- Fai clic sulla vista Tipo. La vista Tipo viene visualizzata per lo stesso processo avvisato come segue:
I dettagli dell'avviso sono visualizzati in tipi. Qui possiamo vedere che il file WMIC.exe ha attivato più di 39 attività sui file e 1 altro processo.
- Fare clic sul segno + accanto a File per visualizzare i dettagli correlati.
Attivazione della visualizzazione data e ora
È possibile visualizzare l'avanzamento del processo che ha attivato un avviso su una scala di data e ora. Questa scala mostra anche se l'attività era correlata a un processo, a un file, a un registro o a un'attività di rete.
- Per abilitare la visualizzazione Data e Ora, fare clic sul cursore nell'angolo inferiore sinistro (evidenziato in un quadrato giallo).
La vista Data e Ora viene visualizzata con il tipo di attività.
- Fare clic sul cursore bianco nell'angolo inferiore sinistro per chiudere la visualizzazione Data e ora.
Legenda del codice colore
| Colore dei punti | Attività correlata a |
|---|---|
| Giallo | Processo |
| Viola | Compila il |
| Blu | Reti |
| Verde | registro |
Inoltre, puoi effettuare le seguenti operazioni:
- Possiamo ingrandire e rimpicciolire usando il mouse. Possiamo regolare la finestra temporale, se ci sono più eventi contemporaneamente, allora ci saranno cerchi concentrici su questa vista, altrimenti sarà un cerchio pieno per un singolo evento.
- Inoltre, quando l'utente clicca su questo cerchio pieno in questa vista, può vedere il rispettivo evento nell'albero e i dettagli nel pannello laterale destro.
- Quando l'utente clicca sui cerchi concentrici, sul pannello di destra vengono visualizzati tutti gli eventi contemporanei verificatisi nello stesso momento. L'utente può vedere ulteriori dettagli dell'evento cliccando sugli eventi.
- Visualizza la sequenza temporale delle attività eseguite da un processo o dal suo processo padre o dai suoi fratelli durante la generazione di un avviso.
Altre azioni disponibili nella pagina Avvisi > Flusso di lavoro di analisi.
- È possibile usufruire delle seguenti funzionalità cliccando sui pulsanti designati nell'angolo in alto a destra dell'interfaccia utente.
| Funzionalità | Action |
| Per tornare all'avviso dopo aver percorso una parte importante del flusso di lavoro di analisi. | Fare clic sul pulsante Visualizza avviso. |
| Per visualizzare i registri delle attività per un avviso. | Fare clic sull'orologio icona. |
| Per inserire commenti durante l'analisi. | Fare clic sulla casella dei commenti. |
| Per visualizzare avvisi simili su altri host. | Fare clic sul grafico a forma di icona corrispondente. |
| Per andare alla visualizzazione completa. | Fare clic sul cursore bianco per espandere la visualizzazione a pagina intera. Per tornare indietro, fare clic sul cursore invertito che è stato spostato all'estrema destra. |
| Per visualizzare i dettagli dell'avviso come basic informazioni sulla marca temporale, generate dalla regola, nonché lo stato e la gravità dell'avviso e dell'assegnatario. | Fare clic sulla scheda Dettagli avviso. |
| Per visualizzare i dettagli del processo che hanno attivato l'avviso, come il nome del processo, la dimensione binaria e i dettagli dell'endpoint. | Fare clic sulla scheda Processo. |