Suspicious Activity in OneView di ThreatDown: panoramica generale
Il monitoraggio delle attività sospette tramite EDR fornisce un’analisi preventiva di una minaccia potenzialmente dannosa sugli endpoint gestiti del tuo sito. Un’attività sospetta è un comportamento anomalo osservato e analizzato utilizzando le tattiche e le tecniche del MITRE. La gravità delle attività sospette viene determinata automaticamente in base agli elementi di sicurezza interessati dell’endpoint.
Il workflow delle attività sospette include i seguenti passaggi:
- L’attività sospetta viene rilevata e classificata automaticamente per gravità e riepilogata per la revisione.
- Risposta e azione intrapresa sulla minaccia rilevata.
Nella schermata Suspicious Activity, fare clic sul percorso rilevato nella colonna Location. Questa schermata mostra un’analisi dell’attività sospetta per aiutare a capire cosa sta facendo il file o il processo e quali azioni intraprendere.
Rules Triggered
Il riquadro Rules Triggered mostra un elenco di file e processi sospetti rilevati da ThreatDown by Malwarebytes. Fare clic sul pulsante Show Summary per espandere i dettagli. Qui puoi vedere tutte le regole di rilevamento attivate dall’attività sospetta e la loro mappatura in MITRE ATT&CK. Fare clic su MITRE ATT&CK Framework per ulteriori informazioni.
MITRE Tactics Mapping classifica i rilevamenti di attività sospette in base ai comportamenti del file o del processo. Vengono fornite regole di rilevamento colorate per mostrare quali regole hanno attivato il rilevamento di attività sospette.
Le regole di rilevamento sono codificate a colori in base alla gravità:
- Rosso: gravità alta
- Arancione: gravità media
- Giallo: gravità bassa
Fare clic su una regola attivata per visualizzare il contesto del rilevamento, una descrizione, le tattiche di minaccia e le tecniche rilevate durante l’analisi. Utilizzare questa opzione per visualizzare le chiavi hash e le informazioni sui processi ai fini dell’esclusione.
Process Graph
Il riquadro Process Graph nella schermata Suspicious Activity Details mostra una rappresentazione visiva dei nodi che indicano le relazioni tra i file oi processi interessati da un’attività sospetta.
Il grafico del processo è utile per determinare se le attività sospette sono legittime o un possibile falso positivo. Per indagare su un’attività sospetta, esaminare i nodi rilevati e analizzare le regole attivate, la gravità, le tattiche e le tecniche utilizzate.
Il grafico sottostante rappresenta un rilevamento legittimo.
- La quantità di file e processi collegati alla rilevazione iniziale dell’attività sospetta.
- La quantità di regole attivate in ciascun nodo.
- La gravità delle regole attivate.
Fare clic sui nodi che hanno attivato una regola di rilevamento per visualizzare il pannello Details. Utilizzare questo pannello per analizzare i singoli file nel grafico del processo, analizzando i seguenti componenti chiave:
- MD5 hash
- Activities
- Sandbox Analysis
Icone dei nodi
All’interno di ogni processo sono presenti due righe che riassumono ogni attività. Passare il mouse su un’icona nel nodo per una descrizione.
La riga superiore delle icone indica il tipo di nodo, la gravità, il numero di regole attivate e i risultati dell’analisi sandbox.
- Mostra se il nodo è un processo.
- Mostra se il nodo è un documento come un documento Office o PDF.
- Le regole attivate sono colorate in base alla gravità. Il numero al centro rappresenta il conteggio di tutte le regole attivate. La gravità è una combinazione del tipo di azioni, del numero di azioni e dell’impatto sulla posizione di sicurezza dell’endpoint.
- Rosso: indica un’elevata gravità
- Arancione: indica una gravità media
- Giallo: indica una gravità bassa.
- Risultati dell’analisi sandbox. I colori delle icone rappresentano:
- Verde: Il campione è stato analizzato automaticamente e i risultati lo hanno segnalato come pulito. Fare clic sull’icona per visualizzare il rapporto di analisi.
- Rosso: Il campione è stato analizzato automaticamente e i risultati lo hanno segnalato come dannoso. Fare clic sull’icona per visualizzare il rapporto di analisi.
- Grigio: Il campione non è stato caricato automaticamente per l’analisi. Fare clic sull’icona per creare un’attività di caricamento del file per visualizzare il rapporto di analisi.
La riga inferiore di icone identifica il tipo di attività che si sono svolte per il nodo. Le icone in grigio indicano che non si è verificata alcuna attività di quel tipo.
- Mostra se il processo ha eseguito attività di rete in uscita.
- Mostra se il processo ha eseguito attività del file system.
- Mostra se il processo ha eseguito attività di registro.
- Mostra se le attività sono state rilevate tramite l’interfaccia di scansione Windows Antimalware Scan Interface (AMSI), che include il controllo dell’account utente (UAC), l’elevazione della sicurezza e le attività di scripting.
- Mostra se il processo ha eseguito attività Windows sospette, ad esempio chiamando funzioni privilegiate di Windows Management Instrumentation (WMI). Questo viene determinato se c’è l’esecuzione di codice all’interno del processo.
Dettagli del nodo
Fare clic sul nodo per visualizzare ulteriori dettagli.
- Cerca in Flight Recorder Search.
- Risultati dell’analisi sandbox. Fare clic per creare un’attività di caricamento file o visualizzare il report dell’analisi.
- Controlla il campione in VirusTotal.
I dettagli del nodo mostrano le seguenti informazioni:
| Last Activity date | |
| Creation date | |
| User Account | Cliccare su Aeroplanino di carta per andare nella sezione Flight Recorder Search. |
| Path | Cliccare su Cartella e Foglio per copiare il percorso negli appunti. Cliccare su Aeroplanino di carta per andare nella sezione Flight Recorder Search. |
| Process ID | Cliccare su Aeroplanino di carta per andare nella sezione Flight Recorder Search. |
| MD5 Hash | Cliccare su Aeroplanino di carta per andare nella sezione Flight Recorder Search. |
| Integrity level | |
| Relation to prior process | |
| Activities | Vedere ulteriori informazioni. |
| Command line parameters | Cliccare su Cartella e Foglio per copiare il parametro della riga di comando negli appunti Cliccare su Aeroplanino di carta per andare nella sezione Flight Recorder Search. |
| Sandbox Analysis | Il campione è già stato analizzato se viene visualizzato No Threat or Malicious. Cliccare su No Threat or Malicious per vedere il rapporto di analisi. Il campione non è ancora stato analizzato se viene visualizzato Not analyzed. Fare click su Upload per effettuare il caricamento del file. |
Activities
Alcuni nodi contengono attività non elaborate eseguite dal file o dal processo. Accanto all’attività, c’è un numero associato al valore File Write, File Read o Reg Set. Fare clic su questo numero per visualizzare un elenco completo delle attività non elaborate eseguite dal file o dal processo.
Le attività Raw possono essere:
- Antimalware scan: quando attività script sono state rilevate da Microsoft AMSI.
- File Writes: quando il file o il processo ha tentato di scrivere nel file system, inclusa la ridenominazione di file comuni durante un attacco ransomware.
- Net Connect Outbound: quando l’endpoint ha avviato la comunicazione di rete in uscita con un altro host o dispositivo.
- Read files: quando il file o il processo tenta di leggere altri file all’interno del file system.
- Rename files: quando un file o un processo rinomina i file.
- Reg Set Values: quando il file o il processo tenta di apportare modifiche al registro di Windows.
Gestione delle Suspicious Activities in OneView
Il monitoraggio delle attività sospette è una funzione di ThreatDown Endpoint Detection and Response (EDR). Osserva i comportamenti di processi, registro, file system e attività di rete sull’endpoint utilizzando un algoritmo euristico alla ricerca di deviazioni.
Visualizzare e ordinare le attività sospette
L’area principale della pagina Suspicious Activity mostra l’elenco di tutte le informazioni sulle minacce sospette come il sito, la posizione, la gravità e lo stato. E’ possibile filtrare e personalizzare i risultati nei seguenti modi:
- Fare clic su Add/Remove Columns sopra l’elenco dei risultati per scegliere quali informazioni visualizzare sulle attività sospette.
- Trascinare e rilasciare le intestazioni delle colonne sulla barra dei risultati per raggruppare i dati in base a tali parametri.
- Nell’angolo in alto a destra della pagina, fare clic su Reset Filters per tornare alle impostazioni predefinite del filtro.
- Passare il cursore sopra l’intestazione di una colonna per visualizzare un’icona a forma di hamburger con opzioni per bloccare e ridimensionare le colonne.
Eseguire azioni
L’esecuzione di azioni su eventi di attività sospette in OneView consente di gestire più siti monitorando le minacce da un’unica console. Per eseguire azioni su eventi di attività sospette, andare alla pagina Suspicious Activity in OneView.
Nella colonna Location , fare clic su un elemento rilevato per visualizzare lo stato e altre informazioni. Queste informazioni includono percorsi di file rilevati, regole attivate e un layout mappato di MITRE Tactics.
Per eseguire azioni in blocco su più endpoint da siti diversi, selezionare più incidenti con lo stesso Status.
In alto a destra, fare clic sul pulsante Actions e scegliere tra le seguenti azioni:
| Action | Descrizione |
| Isolate Endpoint | Blocca le connessioni di rete, i processi e/o l’attività dell’utente sull’endpoint finché l’isolamento non viene rimosso. |
| Remove Isolation | Rimuove l’isolamento dell’endpoint. L’endpoint si riavvierà automaticamente. |
| Remediate Endpoints(s) | Corregge l’attività sospetta rilevata sull’endpoint. |
| Close Incident | Chiude l’incidente sospetto. Si ha la possibilità di creare un esclusione quando si chiude un incidente. Le esclusioni impediscono a questo elemento di attivare futuri eventi di attività sospette. E’ possibile scegliere una delle seguenti opzioni di esclusione: Command Line: esclude script e parametri eseguiti tramite la riga di comando di Windows. MD5 Hash: esclude il file utilizzando il relativo valore hash MD5. Se l’hash MD5 non è disponibile, viene creata un’esclusione file per percorso. |
| Open Incident | Apre un incidente chiuso se sono necessarie ulteriori indagini. |
Related Articles
Come installare un endpoint su MacOSx dalla console OneView di ThreatDown?
Ci sono diversi metodi di installazione, che prevedono o meno l’utilizzo di script. Installazione a partire dal file di setup Il metodo di installazione più semplice consiste nel copiare un file d’installazione nell’endpoint ed eseguirlo. In questo ...Come funziona il Rollback di ThreatDown Endpoint Protection and Response?
La funzione di Rollback di ThreatDown by Malwarebytes (parte del modulo di Endpoint Protection and Response – EPR) è strettamente collegata alla funzionalità Attività Sospette (Suspicious activity). Per illustrarla è necessaria una descrizione del ...Installazione di endpoint ThreatDown su sistemi operativi Linux
ThreatDown Endpoint Protection può essere installato anche su macchine Linux. Nella pagina Download nella console Oneview ci sono istruzioni su come impostare l’origine del repository in modo che punti al repository ThreatDown Linux. Per Ubuntu, ...Ruoli e livelli di accesso alla console OneView di ThreatDown
Ruoli utente e autorizzazioni in OneView La sezione Users in ThreatDown OneView consente di gestire gli account utente. Nella colonna sulla sinistra andate in Configure → Users. In questa sezione è possibile aggiungere, modificare ed eliminare utenti ...Spostare un endpoint da un account Nebula a un sito OneView
Nebula è una console per clienti singoli, mentre la console OneView è una console multitenant per MSP, che può gestire più clienti. Può essere utile spostare gli endpoint da Nebula ad OneView, per centralizzare la gestione della propria sicurezza o ...