Analizzare gli eventi con Flight Recorder in OneView

Analizzare gli eventi con Flight Recorder in OneView

Le informazioni visualizzate da Flight Recorder servono per identificare quali degli endpoint sono interessati o correlati a rilevamenti e segnalazioni emesse dalla console OneView. Le informazioni fornite da Flight Recorder aiutano a fare scelte relative alla sicurezza della propria azienda o dei i propri clienti e vengono mostrate in una tabella.

N.B: per impostazione predefinita, la raccolta dei dati di Flight Recorder è disabilitata. Per abilitarla, selezionare le caselle Flight Recorder per ogni sistema operativo supportato nelle impostazioni dell’EDR di ThreatDown by Malwarebytes.


Tipi di eventi

Il grafico Tipi di eventi mostra le occorrenze totali della query di ricerca nell’intervallo di tempo specificato. I colori mostrano quali tipi di eventi sono stati trovati dalla query.

È possibile passare il cursore su ciascuna delle barre per visualizzare gli eventi totali sugli endpoint. Questi eventi sono suddivisi in:

  • Processo: mostrato come blu scuro.
  • Registro di sistema: visualizzato come giallo.
  • FileSystem: visualizzato come blu.
  • Rete: visualizzata come arancione.
  • Attività script: visualizzata come blu chiaro.
  • Evento di rete: mostrato come rosa.

Sezione Process

La sezione Process mostra informazioni di dettaglio sugli eventi rilevati sugli endpoint. 

È possibile selezionare le caselle accanto a un processo o a un file o selezionare l’azione Isolate Endpoint dal menu a tendina Actions in alto a destra, se si ritiene che rappresentino un rischio per la propria infrastruttura. Per ogni oggetto mostrato in questa finestra è possibile effettuare un controllo del file su Virus Total oppure, tramite la funzione file upload, inviarlo alla sandbox di ThreatDown perché sia verificato.

Nella sezione Processes vengono visualizzate le seguenti informazioni:

  • Process Path: il nome e il percorso del processo trovato da flight recorder. Fare clic su un percorso di processo per visualizzare una rappresentazione grafica del processo selezionato. Ogni nodo è selezionabile con dettagli a scomparsa, incluse le informazioni sugli eventi non elaborati. Questo mostra i dettagli proprio come il grafico del processo per i dettagli delle attività sospette. Per informazioni sul grafico del processo, vedere Dettagli delle attività sospette in ThreatDown by Malwarebytes Endpoint Detection and Response
    .
  • Endpoint: il nome dell’endpoint.
  • First Seen: mostra un timestamp quando l’evento è stato rilevato per la prima volta.
  • Last Seen: mostra un timestamp quando l’evento è stato rilevato l’ultima volta.
  • PID: il numero univoco che identifica ogni processo in esecuzione su un endpoint.
  • Events: mostra i diversi tipi di eventi rilevati da Flight Recorder. Passa il cursore sulle icone codificate a colori per vedere il numero di ogni tipo di evento. I colori corrispondono al grafico Tipi di eventi.
  • User account: l’ultimo utente che ha effettuato l’accesso all’endpoint.
  • Status: stato dell’endpoint, se è necessaria una scansione o una correzione.
  • Action: azioni disponibili che possono essere eseguite sull’endpoint.
  • Group: il gruppo dell’endpoint.
  • MD5: hash MD5 del file.
  • Operating System Platform: mostra il sistema operativo degli endpoint.
  • Policy: mostra il criterio dell’endpoint.
  • SHA1: hash crittografico SHA1 di un file.
  • SHA256: hash crittografico SHA256 di un file.
  • SHA512: hash crittografico SHA512 di un file.