为有效利用 TIE 功能,您要采用可重复和可扩展的工作流。 理想过程是定期循环多阶段漏洞,通过托管环境的高影响力和/或流行度确定详细分析的优先顺序。
活动:
TIE 在 ePolicy Orchestrator (ePO) 中启用下列活动。
-
评估:
TIE 服务器文件和 TIE 服务器证书的即开即用信息显示板,包括上周检测到的新建、更改和可疑文件。 您可以使用信息显示板快速评估环境的运行状况。 它们提供了确定优先顺序和分析阶段的有用入口点。 您可以在信息显示板图表和表格中深入查询聚合数据详情。
信息显示板 → TIE 服务器文件
信息显示板 → TIE 服务器证书
您也可以使用已可用的查询和快速搜索小组件创建自定义信息显示板。
信息显示板 → 信息显示板操作 → 新建
-
确定优先顺序:
TIE 信誉页面包含确定分析优先顺序的固有过滤器,聚焦于恶意文件或未知文件。
TIE 信誉 → 文件搜索 → 自定义 → 恶意文件
TIE 信誉 → 文件搜索 → 自定义 → GTI 中的未知文件
您可以使用包含数据点(如信誉分数和提供程序)和文件属性(如产品和公司名称)的 ePO 查询系统来创建自定义过滤器。
TIE 信誉 → 文件搜索 → 自定义 → 添加
-
分析:
当选择项目进行深入分析时,您可以深入查询“关联的文件详细信息”选项卡上的详情和“其他信息”选项卡上的行为洞察。
TIE 提供了关于本地流行度的有价值公司特定情报,包括企业计数和第一个联系人。
ePO 操作菜单可从文件转到父级、签名证书或执行文件的主机列表。
TIE 信誉 → 选择项目 → 操作 → 关联的文件详细信息
TIE 信誉 → 选择项目 → 操作 → 文件父级
TIE 信誉 → 选择项目 → 操作 → 关联证书详细信息
TIE 信誉 → 选择项目 → 操作 → 文件运行的位置
-
反应:
对于可疑指示符的反应有几种选项:
- 手动设置覆盖允许您纠正已运行的恶意软件,以免将来执行。
TIE 信誉 → 选择项目 → 操作 → “很可能有恶意的文件”或“很可能可信的文件”
- 将系统标记为受损,使用 ePO 查询将其列出。
系统树 → 选择项目 → 操作 → 系统状况指示器 → 设置可能受损
工作流:
工作流循环如下所示:
扩展:
随着指示符数量的增加扩展。
- 使用预定义注释标记手动覆盖,以使用自定义过滤器搜索标记,将分析拆分为多个事件响应器。
- 对系统状况指示符使用自定义查询,查明受损系统,支持不同的专门团队完成补救操作。
临时:
以最少的中断将新建基础图像添加到托管环境:
- 如果您的 TIE 与 Advanced Threat Defense 集成,则要在新建或更新基础图像中手动运行未知二进制文件,以便在广泛分发图像之前对其进行沙盒分析。
- 如果在新建或更新基础图像中,二进制文件没有 Global Threat Intelligence 信誉,则要运行 GetClean 或 GetSusp 工具来扫描样本。 有关更多详细信息,请参阅 KB69385。
- 使用导入 STIX 向导签入新文件,因为其允许您在实际导入之前评估本地情报信息,比如关于哈希值的信誉和流行度。
TIE 信誉 → 文件覆盖 → 操作 → STIX 导入