Skip to main content
Lanterna Home

Splunk Lantern

Triagem de dados de malware Crowdstrike

  1. Last updated
  2. Save as PDF

A plataforma de segurança de endpoint nativa da cloud CrowdStrike é uma parte vital da sua infra-estrutura. No entanto, a visibilidade melhorada e as detecções de machine learning por vezes sobrecarregam os seus centros de operações de segurança com uma superabundância de alertas. Precisa de uma forma de recolher rapidamente mais informações relacionadas com a ameaça, determinar o nível de risco e responder imediatamente quando os alertas se acumularem. Pretende fazer a triagem das detecções de malware do Crowdstrike e automatizar uma variedade de respostas com base numa decisão informada de um analista. Isso permite que os seus analistas pulem consultas repetitivas, ignorem falsos positivos e saltem para a fase de investigação assim que virem o alerta.

Dados requeridos

Crowdstrike

Como utilizar o software Splunk para este caso de utilização

Há uma série de caminhos para este playbook pode levar. A decisão inicial e o filtro asseguram que playbook está a processar uma detecção com um hash de ficheiro SHA256. Em seguida, a tabela Indicador Personalizado no CrowdStrike é consultada para ver se o hash representa um arquivo conhecido de uma detecção anterior. Em caso afirmativo, a metade inferior do playbook faz um fluxo de trabalho reduzido com base na política em vigor para esse hash, permitindo a quarentena do dispositivo se o hash for conhecido como malicioso e fechando o evento se o hash for conhecido como benigno. A metade superior do playbook faz mais investigação porque o hash do ficheiro não é uma quantidade conhecida. As ações “hunt file” e “get process details” mostram outros hosts no seu ambiente com o mesmo hash no disco e o comportamento de outros processos que executam o mesmo arquivo.

Toda esta informação está resumida nos widgets de prompt e ação na página de investigação, permitindo ao analista tomar duas decisões.

  1. Primeiro, o analista pode ignorar o indicador, criar uma política de falsos positivos para o indicador (uma política de “nenhum” no CrowdStrike), ou criar uma verdadeira política positiva (uma política de “detetar”).
  2. Em segundo lugar, o analista pode decidir se deve ou não colocar imediatamente em quarentena o endpoint, bloqueando todo o tráfego de rede de e para, excepto a lista de permissões configurada de endereços de rede que podem aceder ao sistema durante a investigação.

No CrowdStrike, a página Configuração > Política de Contenção permite personalizar a lista de permissões do dispositivo em quarentena. Para usar o playbook :

  1. Crie um cliente API no CrowdStrike.
    1. Na consola Falcon, navegue até Apoio > Clientes API e Chaves > Adicionar Novo Cliente API .
    2. Dê a ele um nome como “SOAR” e permissão para ler Detecções, Incidentes e Hosts, bem como permissões de leitura e gravação para IOCs.
  2. Configurar um activo para a aplicação CrowdStrike em Splunk SOAR .
    1. No seu Splunk SOAR instância, navegue até Home > Apps > Aplicações não configuradas > Pesquisa para API do CrowdStrike OAuth > Configurar Novo Activo .
    2. Dê ao activo um nome, por exemplo, “crowdstrike_oauth”.
    3. Na página Definições do activo, forneça a ID do cliente, o segredo do cliente e a ID da aplicação a partir do cliente da API CrowdStrike.
    4. Na página Definições de Ingestão, escolha um rótulo como “crowdstrike” e um intervalo de ingestão, como uma vez a cada 10 minutos.
    5. Guarde e teste a conectividade para se certificar de que o activo está funcional.
  3. Configurar e activar o playbook .
    1. Navegar até Home > Manuais e pesquisar triagem de malware_crowdstrike_triagem . Se não estiver lá, clique Actualização a partir do Controlo de Origem e seleccionar Comunidade para descarregar novos playbooks da comunidade.
    2. Clique no playbook nome para abri-lo.
    3. Resolver o playbook assistente de importação selecionando o recém-criado CrowdStrike OAuth activo (se utilizou um nome de activo diferente).
    4. Se quiser usar outro tempo em vez de 90 dias para determinar se uma conta está desativada, altere o campo “amount_to_modifique” no bloco “calculate_start_time”.
    5. Defina o rótulo como crowdstrike ou qualquer rótulo criado na configuração do ativo CrowdStrike.
    6. Defina o playbook a Ativo .
    7. Salvar o playbook .

Próximos passos

Tal como acontece com qualquer resposta automática a incidentes, a melhor maneira de expandir esta playbook é vê-lo em ação por um período experimental e manter um ciclo de feedback próximo para adicionar as ações manuais mais comuns que os analistas estão a tomar após a sua execução. Por exemplo, se tiver acesso a uma plataforma de inteligência de ameaças como VirusTotal, Recorded Future, ReversingLabs, ou uma das dezenas de outras que Splunk SOAR integra-se com, leva apenas um minuto para adicionar algumas ações de “reputação de arquivo” a este playbook . Da mesma forma, uma sandbox de malware poderia fornecer um relatório sobre o comportamento do executável e compará-lo com executáveis semelhantes.

Consultando o seu Splunk platform também pode fornecer todo o tipo de informações úteis de suporte, tais como outras execuções de linha de comando semelhantes em todo o seu ambiente, detalhes sobre as comunicações de rede do anfitrião no momento do incidente e informações sobre os ativos e identidades envolvidos no incidente.

O conteúdo deste artigo provém de uma blog publicado anteriormente , um dos milhares de recursos do Splunk disponíveis para ajudar os utilizadores a terem sucesso. Além disso, estes recursos podem ajudá-lo a compreender e implementar estas orientações:

Serviços Splunk OnDemand: Utilize estes serviços baseados em crédito para acesso directo aos consultores técnicos da Splunk com uma variedade de serviços técnicos a partir de um catálogo pré-definido. A maioria dos clientes tem Serviços a Pedido por seus plano de suporte de licença . Envolva a equipa ODS em ondemand@splunk.com se quiser ajuda.