Die Funktionalität von TIE nutzen Sie optimal, wenn Sie einem wiederholbaren und skalierbaren Workflow folgen. Idealerweise durchläuft der Prozess regelmäßig einen mehrstufigen Pfad, der eine ausführliche Analyse nach Auswirkung bzw. Prävalenz in der verwalteten Umgebung priorisiert.
Aktivitäten:
TIE ermöglicht die folgenden Aktivitäten in ePolicy Orchestrator (ePO).
-
Auswertung:
Vordefinierte Dashboards für TIE-Serverdateien und TIE-Serverzertifikate erfassen neue, geänderte und verdächtige Dateien, die innerhalb der letzten Woche erkannt wurden. Mit diesen Dashboards können Sie den Zustand Ihrer Umgebung auf einen Blick auswerten. Dies sind nützliche Einstiegspunkte für die Priorisierungs- und Analysephasen. Die Diagramme und Tabellen der Dashboards können erweitert und nach Details der aggregierten Daten durchsucht werden.
Dashboards → TIE Server-Dateien
Dashboards → TIE Server-Zertifikate
Aus den verfügbaren Abfragen und Schnellsuche-Widgets können Sie auch benutzerdefinierte Dashboards erstellen.
Dashboards → Dashboard-Aktionen → Neu
-
Priorisierung:
Die Seite "TIE-Reputationen" enthält vordefinierte Filter für den Fokus der Analyse auf schädliche oder unbekannte Dateien.
TIE-Reputationen → Dateisuche → Benutzerdefiniert → Bösartige Dateien
TIE-Reputationen → Dateisuche → Benutzerdefiniert → Unbekannt in GTI
Über das Abfragesystem von ePO können Sie benutzerdefinierte Filter mit Datenpunkten wie Reputationsfaktor und Anbieter sowie Dateiattributen wie Produkt- oder Unternehmensname erstellen.
TIE-Reputationen → Dateisuche → Benutzerdefiniert → Hinzufügen
-
Analyse:
Wenn Sie einen Eintrag näher analysieren möchten, können Sie auf der Registerkarte "Details zu zugehörigen Dateien" Dateidetails bzw. auf der Registerkarte "Zusätzliche Informationen" Verhaltensdetails anzeigen.
TIE gibt Ihnen einen wertvollen Einblick in unternehmensspezifische Details zur lokalen Prävalenz einschließlich "Enterprise-Anzahl" und "Erster Kontakt".
Im ePO-Menü "Aktionen" können Sie von einer Datei zum übergeordneten Element, zum signierenden Zertifikat oder zu der Liste der Hosts wechseln, auf denen die Datei ausgeführt wurde.
TIE-Reputationen → Element auswählen → Aktionen → Details zu zugehörigen Dateien
TIE-Reputationen → Element auswählen → Aktionen → Übergeordnete Dateien
TIE-Reputationen → Element auswählen → Aktionen → Zugehörige Zertifikatdetails
TIE-Reputationen → Element auswählen → Aktionen → Wo eine Datei ausgeführt wurde
-
Reaktion:
Sie haben verschiedene Möglichkeiten, auf Anzeichen verdächtigen Verhaltens zu reagieren:
- Durch manuelles Einstellen von Überschreibungen können Sie den durch bereits ausgeführte Malware hervorgerufenen Schaden korrigieren und sich vor künftigen Ausführungen der Malware schützen.
TIE-Reputationen → Element auswählen → Aktionen → Höchstwahrscheinlich bösartige Datei oder Höchstwahrscheinlich vertrauenswürdige Datei
- Einzelne Systeme können Sie als kompromittiert kennzeichnen und diese kompromittierten Systeme mittels ePO-Abfragen auflisten.
Systemstruktur → Element auswählen → Aktionen → Systemzustandsindikator → Als möglicherweise kompromittiert festlegen
Workflow:
Der Workflow-Zyklus ist wie folgt:
Skalierung:
Zur Anpassung des Systems bei einer steigenden Zahl an Indikatoren:
- Verwenden Sie vordefinierte Kommentare zur Kennzeichnung manueller Überschreibungen, zur Verwendung benutzerdefinierter Filter, zur Suche nach Tags und zur Aufteilung der Analyse auf verschiedene Vorfalls-Responder.
- Verwenden Sie eine benutzerdefinierte Abfrage der Systemzustandsindikatoren, um kompromittierte Systeme zu ermitteln und die Verantwortung für Korrekturmaßnahmen an ein dediziertes Team zu übertragen.
Staging:
Zum Hinzufügen neuer Basis-Images zur verwalteten Umgebung bei minimaler Unterbrechung:
- Wenn Ihr TIE in Advanced Threat Defense integriert ist, können Sie unbekannte Binärdateien in einem neuen oder aktualisierten Basis-Image ausführen, um diese mittels einer Sandbox-Analyse zu untersuchen, bevor das Image im großen Stil verteilt wird.
- Enthält ein solches neues oder aktualisiertes Image Binärdateien ohne Global Threat Intelligence-Reputation, können Sie mit den Tools GetClean und GetSusp einzelne Proben untersuchen. Nähere Informationen hierzu finden Sie in KB69385.
- Verwenden Sie zum Einchecken neuer Dateien den Assistenten "Import STIX", da dieser die Auswertung lokaler, in den Hashes vorliegender Intelligence-Daten wie Reputation und Prävalenz noch vor dem eigentlichen Import ermöglicht.
TIE-Reputationen → Außer Kraft gesetzte Dateien → Aktionen → STIX-Import
