Endpoint Detection & Response – Bedrohungsereignisse verstehen

  • nP
  • jD

Definieren von Bedrohungsereignissen

Endpoint Detection and Reponse (EDR) erstellt ein Bedrohungsereignis, wenn es Malware oder potenziell unerwünschte Programme (PUPs) auf einem Gerät identifiziert. Dies geschieht entweder in der Erkennungshaltung oder in der Schutzhaltung, wo die Bedrohung ebenfalls unter Quarantäne gestellt wird. Jedes Bedrohungsereignis enthält Details wie den Namen der Bedrohung, die Klassifizierung, den beteiligten Prozess, das Erkennungsdatum und den aktuellen Status. Sie finden alle Bedrohungsereignisse auf der Seite "Bedrohungen" für Geräte, die mit Blueprints mit Avert verknüpft sind. Darüber hinaus können diese Ereignisse in einzelnen Gerätedatensätzen angezeigt werden.

Bedrohungszentrierte Tabellenansicht

Alle Bedrohungsereignisse werden bei Dateierkennungen nach Dateihash und bei Verhaltenserkennungen nach Ereignisregel organisiert. Diese Struktur vereinfacht die Bewertung der Auswirkungen einer Bedrohung auf Ihre Mac-Flotte. Jedes gruppierte Ereignis enthält einen Seitenbereich, der detaillierte Einblicke in die Bedrohung bietet.

Informationen zur Veranstaltung

Jedes Bedrohungsereignis in der bedrohungszentrierten Tabellenansicht stellt wichtige Informationen bereit, um InfoSec-Teams bei der Untersuchung von Bedrohungen zu unterstützen.

  • Bedrohungs-ID - Zeigt den SHA-256-Hash-Wert der erkannten Bedrohung an.

  • Prozess - Zeigt den zuletzt erkannten Prozess an, der für die Bedrohung verantwortlich ist.

  • Klassifizierung - Gibt die Klassifizierungskategorie des Bedrohungsereignisses an.

  • Erkennungsdatum - Zeichnet das Datum auf, an dem EDR die Bedrohung identifiziert hat.

  • Geräte - Listet die Gesamtzahl der Mac-Geräte auf, die von dem Bedrohungsereignis betroffen sind.

  • Bedrohungsstatus - Bietet einen umfassenden Überblick über alle Bedrohungsstatus – Nicht unter Quarantäne gestellt, Unter Quarantäne gestellt, Behoben und Freigegeben – auf allen Geräten für das gruppierte Bedrohungsereignis.

Einstufungen

Kandji klassifiziert Bedrohungen in vier Kategorien für Dateierkennungen – Malware, potenziell unerwünschte Programme (PUP), gutartig und unbekannt – und zwei Kategorien für Verhaltenserkennungen: bösartig und verdächtig.

Klassifizierungen der Dateierkennung:

  • Malware - Dieser Begriff bezieht sich auf bösartige Software, die entwickelt wurde, um Geräten, Einzelpersonen oder Organisationen zu schaden.

  • Potentially Unwanted Program (PUP) - Dies sind Anwendungen, die auf einem Gerät unerwünscht sein können. PUPs verbrauchen oft hohe Systemressourcen, was sich auf die Leistung auswirkt, unerwünschte Werbung anzeigt und persönliche Informationen sammelt. Im Gegensatz zu Malware sind PUPs nicht dazu gedacht, Schaden anzurichten und werden in der Regel versehentlich mit anderer Software installiert, die oft in gebündelten Paketen zu finden ist.

  • Gutartig – Diese Klassifizierung gilt für Dateien, die ursprünglich als bösartig gekennzeichnet waren, aber später nach weiterer Analyse als nicht bösartig eingestuft wurden. Wenn Sie auf gutartige Bedrohungsereignisse stoßen, kann dies daran liegen, dass sich das Element zum Zeitpunkt der Erkennung oder Quarantäne in Ihrer Avert Library Item Sperrliste befand.

  • Unbekannt - Diese Kategorie ist für Dateien, die Kandji EDR auf der Grundlage der verfügbaren Daten nicht definitiv als bösartig oder gutartig klassifizieren kann. Wenn Sie auf harmlose Bedrohungsereignisse stoßen, kann dies daran liegen, dass sich das Element zum Zeitpunkt der Erkennung oder Quarantäne in Ihrer Avert Library Item Sperrliste befand.

Klassifizierungen für die Verhaltenserkennung

  • Eine böswillige Klassifizierung bezieht sich auf eine Verhaltensaktivität, die darauf abzielt, Schaden anzurichten.

  • Eine verdächtige Klassifizierung bezieht sich auf Verhaltensaktivitäten, die nicht sofort auf einen Schaden hinweisen, aber Aufmerksamkeit für weitere Untersuchungen erfordern.

Status

Allen Bedrohungsereignissen ist ein Status zugeordnet. Die verschiedenen Status, die ein Bedrohungsereignis haben kann, sind:

Status der Dateierkennung:

  • Isoliert - Eine erkannte Bedrohung, die automatisch in der Schutzhaltung unter Quarantäne gestellt wurde.

  • Nicht unter Quarantäne gestellt - Eine erkannte Bedrohung, die nicht unter Quarantäne gestellt wurde.

  • Freigegeben - Eine Bedrohung, die ursprünglich unter Quarantäne gestellt wurde, aber später freigegeben und an ihrem ursprünglichen Speicherort wiederhergestellt wurde.

  • Behoben - Eine erkannte Bedrohung, die sich nicht mehr im zuletzt erkannten Dateipfad befindet und nicht vom Agent unter Quarantäne gestellt wurde.

Status der Verhaltenserkennung:

  • Erkannt - Bösartige Verhaltensaktivitäten wurden erkannt, aber nicht blockiert (Status erkennen).

  • Blockiert – Bösartige Verhaltensaktivitäten wurden identifiziert und blockiert (Schutzstatus).

  • Information - Verdächtige Verhaltensaktivitäten wurden erkannt und zur Sichtbarkeit gekennzeichnet.

Die Quarantäne von Malware und PUP wird durch den Statusmodus bestimmt, der in der Avert Library Item konfiguriert ist. Weitere Informationen zum Konfigurieren der Statusmodi in Ihrer Umgebung finden Sie unter : Konfigurieren des Avert-Library Item.

Anzeigen von Dateierkennungen

  1. Navigieren Sie in der linken Navigationsleiste zu Bedrohungen.

  2. Stellen Sie sicher, dass Dateierkennungen ausgewählt ist. Standardmäßig wird auf der Seite "Bedrohungen" die Ansicht "Dateierkennungen" geöffnet.

Anzeigen von Verhaltenserkennungen

  1. Navigieren Sie in der linken Navigationsleiste zu Bedrohungen.

  2. Klicken Sie auf Verhaltenserkennungen in der oberen rechten Ecke, um Verhaltenserkennungsereignisse anzuzeigen.

Filtern von Bedrohungsereignissen

Sie können Bedrohungsereignisse sowohl für Datei- als auch für Verhaltenserkennungen basierend auf ihrem Status filtern, um die Visualisierung und Behebung zu vereinfachen.

  1. Wählen Sie den Zeitraum für das Entdeckungsdatum aus, für den Sie Bedrohungsereignisse anzeigen möchten.

  2. Wählen Sie den Bedrohungsstatus aus, den Sie in der Liste anzeigen möchten. Sie können eine oder mehrere auswählen.

  3. Wählen Sie den Klassifizierungstyp aus.

  4. Wenn Sie fertig sind, klicken Sie auf die Schaltfläche Alle löschen, um zur Standardansicht zurückzukehren, in der alle Status der letzten 30 Tage angezeigt werden.

Seitenwand

Die bedrohungsorientierte Tabellenansicht verfügt über einen Seitenbereich für jedes gruppierte Ereignis, der durch Klicken auf eine Zeile mit einem Bedrohungsereignis geöffnet werden kann, um auf detaillierte Informationen zu dieser spezifischen Bedrohung zuzugreifen.

Für Dateierkennungen enthält die Seitenleiste Folgendes:

  • Letzter Dateiname, der mit der Bedrohung verknüpft ist

  • Eine globale Ansicht aller Bedrohungsstatus – Nicht unter Quarantäne gestellt, Unter Quarantäne gestellt, Behoben und Freigegeben – für das gruppierte Bedrohungsereignis auf allen Geräten

  • Datum der ersten und letzten Erkennung auf allen Geräten.

  • Einblicke in alle eindeutigen Dateipfade, die im Zusammenhang mit der Bedrohung gefunden wurden

Für Verhaltenserkennungen enthält die Seitenleiste Folgendes:

  • Der letzte Prozessname, der dem gruppierten Ereignis zugeordnet ist

  • Eine globale Ansicht aller Bedrohungsstatus – Erkannt, Blockiert und Blockiert (übergeordnetes Element beendet) – auf allen Geräten.

  • Eine Beschreibung der böswilligen oder verdächtigen Aktivität

  • Die Malware-Familie, die der Verhaltensaktivität zugeordnet ist

  • Informations-Tags, die zusätzlichen Kontext bieten

  • Das Datum der ersten und letzten Erkennung auf allen Geräten

Gerätekarten

Gerätekarten in der Seitenleiste stellen Geräte dar, auf denen die schädliche Datei gefunden wurde.

Bei Dateierkennungen werden auf diesen Karten Informationen wie die folgenden angezeigt:

  • Gerätename

  • Seriennummer

  • Blueprint und Library Item.

  • Malware- und PUP-Statusmodus

  • Ereignisse mit Aktionen

  • Details zum Bedrohungsereignis:

    • Bedrohungsstatus - Der aktuelle Status der Bedrohung auf dem Gerät.

    • Pfad – Der Dateipfad, in dem die Bedrohung erkannt wurde.

    • Benutzer - Der Benutzer, der dem Prozess zugeordnet ist, als die Bedrohung erkannt wurde.

    • Erkennungsdatum - Das Datum, an dem EDR die Bedrohung identifiziert hat.

    • Quarantänedatum – Das Datum, an dem EDR die Bedrohung unter Quarantäne gestellt hat.

    • Auflösungsdatum - Das Datum, an dem die Bedrohung in der Web-App als behoben markiert wurde.

    • Veröffentlichungsdatum – Das Datum, an dem die Bedrohung aus der Quarantäne auf dem Gerät entlassen wurde.

    • Application Bundle Path (Pfad des Anwendungspakets) - Der Pfad zum Anwendungsbundle.

Für Verhaltenserkennungen zeigen diese Karten Informationen wie die folgenden an:

  • Gerätename

  • Seriennummer

  • Blaupause und Bibliothekselement

  • Informationen zum Statusmodus zur Erkennung bösartigen Verhaltens

  • Details zum Bedrohungsereignis:

    • Bedrohungsstatus - Der aktuelle Status der Bedrohung auf dem Gerät.

    • Erkennungsdatum - Das Datum, an dem EDR die Bedrohung identifiziert hat.

    • Regelversion - Aktuelle Regelversion

    • Informationen zu übergeordneten und Zielprozessen:

      • Name des übergeordneten und Zielprozesses

      • ID des übergeordneten und Zielprozesses

      • Verantwortlicher für den Prozess

      • Image-Pfade für Eltern- und Zielprozesse

      • Befehlszeilenargumente für übergeordnete und Zielprozesse

      • SHA265-Hash des übergeordneten und des Zielprozesses

Anzeigen der Bedrohungsereignisse eines Geräts in der Seitenleiste

Für Dateierkennungen:

  1. Navigieren Sie in der linken Navigationsleiste zu Bedrohungen.

  2. Klicken Sie auf ein beliebiges Bedrohungsereignis, um den Seitenbereich zu öffnen.

  3. Zeigen Sie auf der Registerkarte Geräte die Gerätekarten für alle Geräte an, auf denen der bösartige Hash erkannt wurde. Klicken Sie auf eine beliebige Gerätekarte, um sie zu erweitern und die zugehörigen Bedrohungsereignisse anzuzeigen.

Für Verhaltenserkennungen:

  1. Navigieren Sie in der linken Navigationsleiste zu Bedrohungen.

  2. Klicken Sie auf Verhaltenserkennungen in der oberen rechten Ecke, um Verhaltenserkennungsereignisse anzuzeigen.

  3. Klicken Sie auf ein beliebiges Bedrohungsereignis, um den Seitenbereich zu öffnen.

Erneutes Überprüfen des Status einer Bedrohung

Wenn die Statusmodi "Malware" oder "PUP" auf "Erkennen" festgelegt sind, können Sie den Status einer Bedrohung manuell in der Seitenleiste überprüfen, um festzustellen, ob sie noch im Dateipfad vorhanden ist. Wenn die Bedrohung nicht mehr vorhanden ist, wird ihr Status von "Nicht unter Quarantäne" auf "Gelöst" aktualisiert. Wenn die Bedrohung noch vorhanden ist, bleibt ihr Status unverändert.

  1. Navigieren Sie in der linken Navigationsleiste zu Bedrohungen.

  2. Klicken Sie auf ein beliebiges Bedrohungsereignis, um den Seitenbereich zu öffnen.

  3. Klicken Sie auf die gewünschte Gerätekarte, um sie zu erweitern und die Bedrohungsereignisse des Geräts anzuzeigen.

  4. Klicken Sie auf Status erneut überprüfen.

Wenn Bedrohungen zum ersten Mal erkannt und von einem Gerät entfernt werden, ändert sich ihr Status von Nicht isoliert in Behoben, sobald die Malware- oder PUP-Statusmodi im Avert Library Item auf den Schutzmodus festgelegt werden. Dieses Update tritt auch auf, wenn ein neues Blueprint mit diesen Einstellungen auf das Gerät angewendet wird.

Freigeben eines Bedrohungsereignisses

Es kann Situationen geben, in denen InfoSec-Teams ein Bedrohungsereignis für bestimmte Dateien oder Anwendungen freigeben müssen, die fälschlicherweise unter Quarantäne gestellt wurden, z. B. ein Sicherheitstool oder eine Anwendung, die von der Organisation verwendet wird. Beim Freigeben eines Bedrohungsereignisses wird das Element der Zulassungsliste für das zugeordnete Avert Library Itemhinzugefügt.

Die Aktion zum Freigeben von Bedrohungsereignissen gilt nur für die Blueprints , die dem Avert Library Itemzugewiesen sind. Wenn Sie eine Bedrohung freigeben, wird sie von allen Mac-Computern freigegeben, auf denen die Bedrohung erkannt wurde.

  1. Navigieren Sie in der linken Navigationsleiste zu Bedrohungen.

  2. Klicken Sie auf ein beliebiges Bedrohungsereignis, um den Seitenbereich zu öffnen.

  3. Klicken Sie auf die gewünschte Gerätekarte, um sie zu erweitern und die Bedrohungsereignisse des Geräts anzuzeigen.

  4. Klicken Sie auf Bedrohung freigeben.

  5. Geben Sie einen Elementnamen ein.

  6. Geben Sie optional eine interne Notiz ein, in der angegeben ist, warum das Bedrohungsereignis veröffentlicht wird.

  7. Geben Sie RELEASE ein, um die Bedrohung freizugeben.

  8. Klicken Sie auf Hinzufügen und freigeben, um die Bedrohung zu Ihrer Zulassungsliste hinzuzufügen und die Bedrohung freizugeben.

Durchführen einer VirusTotal-Suche

VirusTotal ist ein leistungsstarkes Tool, das detaillierte Analysen und Einblicke in Dateien und URLs bietet. Die Web-App enthält eine praktische Funktion zum Durchsuchen von Hashes in VirusTotal, mit der Sie direkt über einen Eintrag für ein Bedrohungsereignis auf zusätzliche Kontextinformationen zugreifen können, ohne die App verlassen zu müssen.

  1. Navigieren Sie in der linken Navigationsleiste zu Bedrohungen.

  2. Klicken Sie auf die Auslassungspunkte ganz rechts neben dem gewünschten Bedrohungsereignis.

  3. Klicken Sie auf VirusTotal durchsuchen, um den Hash in VirusTotal zu durchsuchen.

Kandji EDR kann bestimmte Hashes als Malware oder PUP klassifizieren, auch wenn VirusTotal keine Erkennungen hat oder sie als nicht bösartig einstuft. Dies ist zu erwarten, da Kandji EDR mehrere Bedrohungsquellen nutzt.

Exportieren von Bedrohungsereignissen in CSV

Zusätzlich zur Verwendung der Kandji -API können InfoSec- und IT-Teams die Liste der Bedrohungsereignisse direkt aus der Admin-Konsole exportieren. Das Exportsymbol in der bedrohungsorientierten Ansicht wendet die aktuellen Filtereinstellungen an und generiert eine CSV-Datei mit detaillierten Informationen zu jedem Bedrohungsereignis in separaten Spalten. Diese Funktion ist sowohl in der Hauptansicht des Moduls "Bedrohungen" als auch auf der Registerkarte "Bedrohungen" unter "Gerätedatensatz" verfügbar.

  1. Navigieren Sie in der linken Navigationsleiste zu Bedrohungen.

  2. Wählen Sie entweder Dateierkennungen oder Verhaltenserkennungen aus.

  3. Klicken Sie auf das Symbol Exportieren ganz rechts in der Listenansicht für Bedrohungsereignisse. Eine CSV-Exportdatei wird automatisch heruntergeladen.