Pour tirer le meilleur parti des fonctionnalités TIE, suivez une workflow évolutive. Le processus idéal recycle régulièrement un entonnoir à plusieurs étages qui hiérarchise l’analyse détaillée.
Opérations
TIE active les activités suivantes dans ePolicy Orchestrator :
-
Examine
Les tableaux de bord prédéfinis pour les fichiers de serveur TIE et les certificats de serveur TIE incluent les fichiers nouveaux, modifiés et suspects détectés au cours de la dernière semaine. Vous pouvez utiliser les tableaux de bord pour évaluer rapidement l’état de santé d’un environnement. Elles fournissent des points d’entrée utiles aux phases de hiérarchisation et d’analyse. Vous pouvez accéder aux détails des graphiques de tableau de bord et des tableaux dans les détails des données agrégées.
Tableaux bord compt Fichiers de serveur TIE
Tableaux bord compt Certificats de serveur TIE
Tableaux de bord → décisionnel face aux menaces du serveur TIE
Tableaux de bord → soumissions ATD serveur TIE
Tableaux de bord → infrastructure du serveur TIE
Tableaux de bord → remplacements du serveur TIE
Tableaux de bord → nettoyage des données du serveur TIE
Tableaux de bord → fichiers inconnus non signés du serveur TIE
Tableaux de bord → fichiers inconnus signés du serveur TIE
Tableaux de bord → tableaux de bord niveau de priorité des serveurs TIE
Vous pouvez également créer des tableaux de bord personnalisés à l’aide de requêtes déjà disponibles et de widgets de recherche rapide.
Dashboards → Dashboard Actions → New
-
Hiérarchisation
La page réputations TIE inclut des filtres prédéfinis permettant de définir les priorités de l’analyse. Ils se concentrent sur des fichiers malveillants ou inconnus.
Réputations TIE compt Recherche de fichiers compt Personnalisée compt Fichiers malveillants
Réputations TIE compt Recherche de fichiers compt Personnalisée compt Inconnu dans GTI
Vous pouvez créer des filtres personnalisés à l’aide du système de requêtes ePO. Vous pouvez utiliser des points de données tels que la réputation score et le fournisseur, ainsi que des attributs de fichier tels que le produit ou le nom de la société.
TIE Reputations → File Search → Custom → Add
-
Specimens
Lorsqu’un élément est sélectionné pour une analyse complémentaire, vous pouvez faire deux choses. Vous pouvez accéder aux détails de l’onglet Détails sur le fichier associé et obtenir des informations sur le comportement dans l’onglet informations complémentaires.
TIE fournit des informations précieuses sur l’entreprise en matière de prévalence de l’entreprise, notamment le nombre d’entreprises et le premier contact.
Le menu actions ePO peut faire pivoter d’un fichier à son parent, à son certificat de signature ou à la liste des hôtes sur lesquels le fichier a été exécuté.
Réputations TIE compt Sélectionner un élément compt Actions compt Détails des fichiers associés
Réputations TIE compt Sélectionner un élément compt Actions compt Parents de fichier
Réputations TIE compt Sélectionner un élément compt Actions compt Détails du certificat associé
Réputations TIE compt Sélectionner un élément compt Actions compt Emplacement d’exécution du fichier
-
Correction
Plusieurs options permettent de réagir aux indicateurs suspects :
- La définition manuelle des remplacements vous permet de corriger déjà l’exécution de logiciels malveillants et de vous protéger contre les prochaines exécutions.
TIE Reputations → Select Item → Actions → File Most Likely Malicious or File Most Likely Trusted → Analyze Impact → Confirm Override
- Marquez les systèmes comme compromis et utilisez des requêtes ePO pour les répertorier.
System Tree → Select Item → Actions → System Health Indicator → Set Possibly Compromised
Des
Le cycle de workflow se présente comme suit :
Échelle
Pour mettre à l’échelle lorsque le nombre d’indicateurs augmente :
- Utilisez des commentaires prédéfinis pour marquer les remplacements manuels afin d’utiliser des filtres personnalisés pour rechercher des marqueurs et des analyses fractionnées en plusieurs répondeurs d’incidents.
- Utilisez une requête personnalisée pour les indicateurs d’intégrité du système. La requête localise les systèmes compromis et permet d’effectuer des actions de correction à l’aide d’une autre équipe et dédiée.
Intermédiaire
Pour ajouter de nouvelles images de base à l’environnement managé avec un minimum de perturbations :
- Si votre TIE est intégrée à Advanced Threat Defense, exécutez manuellement des fichiers binaires inconnus dans une image de base nouvelle ou mise à jour. Cette action force l’analyse du bac à sable (sandbox) sur ces dernières avant la distribution étendue de l’image.
- S’il existe des fichiers binaires sans Global Threat Intelligence réputation dans une image nouvelle ou mise à jour, exécutez les outils GetClean ou GetSusp pour que les échantillons soient analysés.
Voir article redernier KB69385 connaissances-FAQ pour GetSusp.
- Utilisez l’Assistant Importer STIX pour archiver de nouveaux fichiers. Elle vous permet d’évaluer les informations relatives aux renseignements locaux, telles que les réputations et la prévalence des hachages avant l’importation réelle.
TIE Reputations → File Overrides → Actions → STIX Import
