Voor een efficiënt gebruik van TIE-mogelijkheden is het belangrijk dat u een herhaalbare en schaalbare werkstroom volgt. Tijdens het ideale proces worden regelmatig meerdere fasen doorlopen waarin aan gedetailleerde analysen prioriteiten worden toegekend op basis van de impact en/of invloed op de beheerde omgeving.
Activiteiten:
TIE maakt de volgende activiteiten mogelijk in ePolicy Orchestrator (ePO).
-
Beoordeling:
kant-en-klare dashboards voor TIE-serverbestanden en -certificaten bevatten een overzicht van nieuwe, gewijzigde en verdachte bestanden die de afgelopen week zijn gedetecteerd. Met behulp van de dashboards kunt u snel de status van een omgeving beoordelen. Ze bieden nuttige invalshoeken voor de prioriteits- en analysefasen. U kunt inzoomen op dashboardgrafieken en -tabellen om de details van de verzamelde gegevens te bekijken.
Dashboards → Dashboards TIE-serverbestanden
→ TIE-certificaten
Met kant-en-klare query's en widgets om snel te zoeken kunt u ook aangepaste dashboards maken.
Dashboards → Dashboardacties Actions → Nieuw
-
Prioriteiten toekennen:
de pagina TIE-reputaties bevat kant-en-klare filters om prioriteiten toe te kennen aan analyse, waarbij de nadruk ligt op schadelijke of onbekende bestanden.
TIE-reputaties → Zoeken naar bestanden → Aangepast → Schadelijke bestanden
TIE-reputaties → Zoeken naar bestanden → Aangepast → Onbekend in GTI
Met behulp van het ePO-querysysteem kunt u aangepaste filters maken op basis van gegevenspunten, zoals reputatiescore en provider, en bestandskenmerken, zoals product- of bedrijfsnaam.
TIE-reputaties → Zoeken naar bestanden → Aangepast → Toevoegen
-
Analyseren:
wanneer een item is geselecteerd voor verdere analyse, kunt u op het tabblad Gegevens van gekoppeld bestand inzoomen op de details. Op het tabblad Aanvullende informatie vindt u meer inzichten in het gedrag van het bestand.
TIE biedt waardevolle bedrijfsspecifieke informatie over plaatselijke invloed, waaronder Aantal in onderneming en Eerste contact.
In het menu Acties van ePO kunt u vanuit een bestand navigeren naar het bovenliggende bestand, het handtekeningcertificaat of naar de lijst met hosts waar het bestand is uitgevoerd.
TIE-reputaties → Item selecteren → Acties → Gegevens van gekoppelde bestand,
TIE-reputaties → Item selecteren → Acties → Bovenliggende bestanden,
TIE-reputaties → item selecteren → Acties → Gegeven van gekoppeld certificaat,
TIE-reputaties → Item selecteren → Acties → Waar bestand is uitgevoerd
-
Reageren:
er kan op verschillende manieren worden gereageerd op indicaties van verdachte bestanden:
- Door handmatige uitschakelingen in te stellen, kunt u malware die al wordt uitgevoerd corrigeren en het systeem beschermen tegen uitvoeringen in de toekomst.
TIE-reputaties → Item selecteren → Acties → Bestand waarschijnlijk schadelijk of Bestand waarschijnlijk vertrouwd
- Label systemen als geïnfecteerd en gebruik ePO-query's om deze in een overzicht op te nemen.
Systeemboom → Item selecteren → Acties → Systeemstatusindicatie → Mogelijk geïnfecteerd instellen
Werkstroom:
de werkstroomcyclus ziet er als volgt uit:
Schalen:
u schaalt als volgt naarmate het aantal indicaties toeneemt:
- Gebruik vooraf gedefinieerde opmerkingen om handmatige uitschakelingen te labelen, zodat u met aangepaste filters kunt zoeken naar labels en de analyse kunt opsplitsen in meerdere incidentreacties.
- Gebruik een aangepaste query voor systeemstatusindicaties om geïnfecteerde systemen te identificeren, waarna herstelacties kunnen worden uitgevoerd door een ander en daarvoor aangewezen team.
Faseren:
u voegt als volgt met minimale onderbreking nieuwe basis-images toe aan de beheerde omgeving:
- Als de TIE is geïntegreerd met Advanced Threat Defense, kunt u handmatig onbekende binaire bestanden uitvoeren in een nieuwe of bijgewerkte image om sandboxanalyse op deze image uit te voeren voordat deze op grote schaal wordt verspreid.
- Als een nieuwe of bijgewerkte image binaire bestanden zonder Global Threat Intelligence-reputatie bevat, voert u het hulpprogramma GetClean of GetSusp uit om samples te laten scannen. Zie KB69385 voor meer informatie.
- Gebruik de wizard STIX importeren om nieuwe bestanden in te checken. Hiermee kunt u lokale bedrijfsinformatie, zoals reputaties en invloed, evalueren voor de hashes voordat u de bestanden daadwerkelijk importeert.
TIE-reputaties → Bestanduitschakelingen → Acties → STIX-import
