TIE 기능을 효과적으로 사용하려면 반복 가능하고 확장 가능한 워크플로에 따라 수행해야 합니다. 이상적인 프로세스는 관리 환경에서 높은 영향 및/또는 확산에 따라 세부적인 분석의 우선 순위를 지정하는 다단계 절차를 주기적으로 순환합니다.
활동:
TIE는 ePO(ePolicy Orchestrator) 내에서 다음 활동을 활성화합니다.
-
평가:
TIE 서버 파일 및 TIE 서버 인증서에 대한 기본 제공 대시보드에는 지난 주 동안 탐지된 새 파일, 변경된 파일 및 의심되는 파일이 포함되어 있습니다. 대시보드를 사용하여 환경의 상태를 신속하게 평가할 수 있습니다. 우선 순위 지정 및 분석 단계에 유용한 진입점을 제공합니다. 대시보드 차트 및 테이블에서 집계된 데이터의 세부 정보로 드릴다운할 수 있습니다.
대시보드 → TIE 서버 파일
대시보드 → TIE 서버 인증서
이미 사용 가능한 쿼리 및 빠른 검색 위젯을 사용하여 사용자 지정 대시보드를 만들 수도 있습니다.
대시보드 → 대시보드 작업 → 새로 만들기
-
우선 순위 지정:
TIE 평판 페이지에는 악성 파일 또는 알 수 없는 파일에 초점을 맞춰 분석의 우선 순위를 지정할 수 있는 포함된 필터가 있습니다.
TIE 평판 → 파일 검색 → 사용자 지정 → 악성 파일
TIE 평판 → 파일 검색 → 사용자 지정 → GTI에서 알 수 없음
평판 점수 및 공급자와 같은 데이터 지점이 포함된 ePO 쿼리 시스템 및 제품 또는 회사 이름 같은 파일 특성을 사용하여 사용자 지정 필터를 만들 수 있습니다.
TIE 평판 → 파일 검색 → 사용자 지정 → 추가
-
분석:
추가 분석을 위해 항목을 선택하면 연결된 인증서 상세 정보 탭의 세부 정보 및 추가 정보 탭의 동작 인사이트로 드릴다운할 수 있습니다.
TIE는 엔터프라이즈 개수 및 처음 연결을 비롯한 로컬 확산에 대한 회사별 소중한 정보를 제공합니다.
ePO 작업 메뉴는 파일에서 부모, 서명 인증서 또는 파일이 실행된 호스트 목록으로 피벗할 수 있습니다.
TIE 평판 → 항목 선택 → 작업 → 연결된 인증서 상세 정보
TIE 평판 → 항목 선택 → 액션 → 파일 상위
TIE 평판 → 항목 선택 → 액션 → 연결된 인증서 상세 정보
TIE 평판 → 항목 선택 → 액션 → 파일 실행 위치
-
대응:
의심스러운 지표에 대응할 수 있는 몇 가지 옵션이 있습니다.
- 재정의를 수동으로 설정하면 이미 실행 중인 악성 프로그램을 보완하여 이후에 실행되는 것을 방지할 수 있습니다.
TIE 평판 → 항목 선택 → 액션 → 거의 확실한 악성 파일 또는 거의 확실히 신뢰할 수 있는 파일
- 시스템에 손상된 것으로 태그를 지정하고 ePO 쿼리를 사용하여 나열합니다.
시스템 트리 → 항목 선택 → 액션 → 시스템 상태 표시기 → 손상되었을 수 있음 설정
워크플로:
워크플로 주기는 다음과 같을 수 있습니다.
확장:
표시기 수 증가에 따라 확장하려면:
- 사용자 지정 필터를 사용하여 태그를 검색하려면 사전 정의된 주석을 사용하여 수동 재정의에 태그를 지정하고 분석을 여러 인시던트 응답자로 분리합니다.
- 시스템 상태 표시기에 대한 사용자 지정 쿼리를 사용하여 손상된 시스템을 찾아내고 다른 전용 팀에서 수정 작업이 완료될 수 있도록 합니다.
준비:
최소한의 중단으로 관리 환경에 새 기본 이미지를 추가하려면:
- TIE가 Advanced Threat Defense와 통합된 경우 이미지가 널리 배포되기 전에 새 기본 이미지 또는 업데이트된 기본 이미지에서 알 수 없는 이진을 수동으로 실행하여 샌드박스 분석을 강제로 수행합니다.
- 새 이미지나 업데이트된 이미지에 Global Threat Intelligence 평판이 없는 이진이 있는 경우 샘플이 검색되도록 GetClean 또는 GetSusp 도구를 실행합니다. 자세한 내용은 KB69385를 참조하십시오.
- STIX 가져오기 마법사를 사용하면 실제 가져오기 전에 해시에서 평판 및 확산과 같은 로컬 인텔리전스 정보를 평가할 수 있으므로 새 파일을 체크인합니다.
TIE 평판 → 파일 재정의 → 액션 → STIX 가져오기