审查您的安全事件
首先,您可以查看 "事件管理 "仪表板,它提供了所有正在发生的安全事件及其状态、严重程度和其他详细信息的集中视图。
您看到一个需要关注的事件,于是点击打开。
深入挖掘事件细节
从 "事件概述 "页面,您可以收集更多信息:
![tick]()
事件严重性得分![tick]()
受损资产![tick]()
发出警报的数据源![tick]()
已执行自动回复
事件严重性得分深入挖掘事件细节
为了生成这一事件,Cortex XDR 通过拼接多个来源的事件,建立主机、身份、网络流量等之间的联系,创建了丰富的活动记录,从而扩大了事件背景。
数百个机器学习模型查找拼接数据中的异常活动,生成新的检测警报。
然后,Cortex XDR 将相关警报归类为单一事件,全面描述了攻击情况,并将需要手动审查的警报数量减少了 98%。
识别受损资产
在这次事件中,您注意到一台 Windows PC 和一台托管在云中的面向互联网的服务器可能已被入侵。
检查 MITRE ATT&CK® 框架
您还会看到攻击与MITRE ATT&CK® 框架的映射,该框架为网络威胁和攻击技术的分类和描述提供了标准化的分类标准。通过自动将攻击映射到该框架,Cortex XDR 可让您全面了解所有相关活动。
利用警报和洞察力进行调查
您的重要警报确认 Windows PC 已被入侵。
在列表下方,您可以看到云托管服务器有一个中等严重性警报。在警报中,您发现有人试图进行暴力破解攻击,但失败了。
现在,是时候隔离被入侵的 Windows 电脑以阻止攻击进一步发展了。
阻止攻击
隔离端点有助于遏制恶意软件和其他威胁的传播。
通过断开被入侵端点与网络的连接,可以防止威胁传播到其他设备或系统,从而限制事件的范围和影响。
搜索并摧毁恶意软件
现在是搜索并销毁勒索软件文件的时候了。
使用实时终端,您可以在端点上远程执行命令和脚本,以便快速修复,而无需实际访问受影响的设备。
拉开帷幕
那么,为什么端点代理没有阻止这次攻击呢?
在本演示中,我们将端点策略设置为只报告,允许攻击继续进行,同时向我们通报攻击进展。这也提醒我们在配置策略时始终遵循最佳实践。
现在,让我们将策略设置为阻止,然后继续前进!
找出安全漏洞,确保符合监管标准
在很好地控制了这次勒索软件事件后,您想起了早些时候的一次暴力攻击尝试中涉及到的云资产。有鉴于此,您可以采取一些积极的安全措施来加强云安全。
Cortex XDR 的云合规性功能可对云资源执行互联网安全中心 (CIS) 基准合规性检查。这有助于发现潜在的安全漏洞,降低风险,避免监管罚款或处罚。
您注意到,合规率仅为 74%,您决定将这一点写入最终报告。/p>
在单一仪表板中评估漏洞
由于您在调查过程中发现了一台被入侵的 PC,因此您需要使用漏洞评估来检查可能未打补丁和被利用的潜在漏洞。
您会发现,您标记的受攻击电脑存在多个导致勒索软件攻击的漏洞,这为您提供了开始打补丁所需的信息。
简明扼要的报告
是时候以简洁的格式为你的经理生成报告了。您可以从许多预建模板中进行选择,也可以创建自定义报告。
您可以生成有关调查的报告,包括事件管理、云合规性和漏洞评估。
单击一行生成报告
冲浪
祝贺你您成功调查并解决了勒索软件攻击。调查显示
![tick]()
对云资产的暴力攻击尝试![tick]()
存在未修补漏洞的电脑![tick]()
安全策略设置为仅报告,允许攻击继续进行。
幸运的是,您很快就隔离了被入侵的端点,并在没有物理访问电脑的情况下消除了勒索软件文件。
整个事件的详细报告已经生成。现在,你将在倒计时 1 小时后抵达海滩。
时间就是生命
Cortex XDR 使安全分析人员能够专注于他们最擅长的领域。安全运营部门可利用 Cortex XDR 实现以下功能
![tick]()
预防端点和云工作负载上的勒索软件等威胁![tick]()
将 MTTD(平均检测时间)加速到机器速度![tick]()
快速应对攻击的根本原因
利用 Cortex XDR 实现更高的安全性。
警报减少 98
更快速的调查。
在 MITRE Engenuity 2023 中无需更改配置即可实现 100% 预防和检测