Endpoint Patching en EDR-meldingen

Know what your EDR alert means and what to do next.

Wat is Endpoint Patching en EDR-meldingen?

Halverwege de ochtend verschijnt een EDR-melding op uw scherm. Iets over 'verdachte procesuitvoering.' Is dit een fout-positief of het begin van een echt incident? De meeste medewerkers bevriezen wanneer ze deze meldingen zien, omdat niemand hen heeft geleerd wat de meldingen daadwerkelijk betekenen. Deze oefening plaatst u voor een live EDR-dashboard. U ziet de specifieke meldingstypen die beveiligingstools genereren: procesanomalieën, ongeautoriseerde registerwijzigingen, ongebruikelijke netwerkverbindingen en verdachte bestandswijzigingen. Voor elke melding beslist u of u deze negeert, verder onderzoekt of onmiddellijk escaleert. De simulatie behandelt ook waarom endpoint patching belangrijk is vanuit uw perspectief, niet alleen dat van het IT-team. Wanneer uw machine een patch overslaat, ontstaat er een gat waar aanvallers op scannen. Het Ponemon Institute heeft vastgesteld dat 57% van de slachtoffers van datalekken bekende kwetsbare software draaide ten tijde van het compromis. U controleert uw eigen patchstatus, herkent wanneer een updatemelding urgent is en begrijpt het verschil tussen een routinematige update en een noodbeveiligingsfix. De oefening doorloopt wat er gebeurt wanneer u een EDR-melding wegklikt die echt blijkt te zijn. Het behandelt ook het meer voorkomende scenario: hoe u een echte melding rapporteert zonder onnodige paniek te veroorzaken.

Wat je leert in Endpoint Patching en EDR-meldingen

Endpoint Patching en EDR-meldingen — Trainingsstappen

  1. Introductie

    Vandaag leert u hoe Endpoint Detection and Response (EDR)-systemen uw werkstation controleren op bedreigingen - en wat u moet doen als ze iets verdachts detecteren.

  2. Een routinematige donderdag

    Het is donderdagmiddag. Alice is bezig met het afronden van een kwartaalanalyserapport als haar aandacht wordt getrokken door een ongebruikelijke melding in het systeemvak. Een klein schildpictogram knippert oranje: de EDR-agent van het bedrijf probeert haar aandacht te trekken.

  3. Het EDR-alarm

    De EDR-melding wordt uitgevouwen en toont meer details: Sentinel Shield EDR - waarschuwing Ernst: hoog Type: Verdacht procesgedrag Details: een proces heeft geprobeerd toegang te krijgen tot gevoelige geheugenregio's. Dit gedragspatroon wordt geassocieerd met tools voor het verzamelen van inloggegevens. Status: Gedeeltelijk geblokkeerd: onmiddellijke actie vereist Aanbevolen: bekijk de waarschuwingsdetails, installeer een beveiligingsupdate die in behandeling is en meld het incident.

  4. Inloggen op het EDR-portaal

    Door op 'Details bekijken' te klikken, werd het Sentinel Shield EDR-portaal in de browser van Alice geopend. Ze moet inloggen om de volledige waarschuwingsgegevens en de beveiligingsstatus van haar eindpunt te bekijken.

  5. Het EDR-dashboard

    Het EDR-portaaldashboard toont de werkstationstatus van Alice in één oogopslag: Eindpuntstatus: beschermd Laatste scan: vandaag, 14:30 uur Bedreiging gedetecteerd: 1 (vandaag) — Gedeeltelijk geblokkeerd Agentversie: 8.2.1 (huidig) Patchstatus: 1 update in behandeling Kritische beveiliging Update KB5034441 beschikbaar In behandeling sinds: 3 dagen geleden Alice merkt dat de waarschuwingsstatus 'Gedeeltelijk geblokkeerd' is - niet volledig geblokkeerd. De ontbrekende beveiligingsupdate gaf de aanvaller een korte toegangsperiode.

  6. Waarschuwingsdetails

    Uit de waarschuwingsdetails blijkt wat er is gebeurd: Waarschuwings-ID: EDR-2024-847291 Detectietijd: vandaag, 14:47 uur Status: Gedeeltelijk geblokkeerd Proces: svchost_update.exe (verdachte naam die een legitiem proces nabootst) Bron: gedownload bestand: macro-uitvoering 'Q3_Budget_Summary.xlsx' Gedragsindicatoren: Poging tot toegang tot LSASS-geheugen (opslag van inloggegevens) Ontwikkeld een verborgen PowerShell-proces Poging tot netwerkverbinding met een onbekend extern IP-adres Ondernomen actie: Proces beëindigd na gedeeltelijke uitvoering: inloggegevens zijn mogelijk openbaar gemaakt Alice voelt een koude rilling. Het proces werd niet alleen geblokkeerd; het duurde lang genoeg om mogelijk haar inloggegevens te verzamelen voordat EDR het vernietigde.

  7. Patchstatusoverzicht

    De patchstatuspagina toont: Besturingssysteempatches: KB5034441 (kritieke beveiligingsupdate) — IN AFWACHTING — 3 dagen KB5034123 (functie-update) — geïnstalleerd KB5033891 (beveiligingsupdate) — geïnstalleerd De cruciale update die in behandeling is (KB5034441) herstelt kwetsbaarheid CVE-2024-38112, waardoor code op afstand kan worden uitgevoerd via kwaadaardige Office-macro's - de exacte exploitvector die bij de aanval van vandaag wordt gebruikt. Omdat deze patch al 3 dagen in behandeling was, was de kwetsbaarheid open toen de aanvaller toesloeg. EDR heeft het kwaadaardige gedrag opgemerkt, maar de ontbrekende patch is de reden waarom de inloggegevens gedeeltelijk openbaar zijn gemaakt. Alice merkt dat er hier geen installatieknop is. EDR controleert de patchstatus, maar patches worden geïnstalleerd via Windows-instellingen .

  8. De gevolgen

    Terwijl Alice de patchinformatie bekijkt, komt er een nieuwe e-mail binnen. De onderwerpregel doet haar maag samentrekken. IT Security heeft in de afgelopen 15 minuten verdachte inlogpogingen op haar account gedetecteerd vanaf een onbekend IP-adres in Oost-Europa. De blootstelling aan inloggegevens door de EDR-waarschuwing was niet theoretisch: iemand probeert al haar gecompromitteerde inloggegevens te gebruiken.

  9. Kennischeck

    Voordat we actie ondernemen, moeten we ervoor zorgen dat u begrijpt wat er is gebeurd en waarom.

  10. Het installeren van de patch

    Volgens de instructies van IT Security opent Alice de Windows-instellingen om de essentiële beveiligingsupdate te installeren die al drie dagen in behandeling is. Dit is hoe OS-patches daadwerkelijk worden geïnstalleerd: via de update-instellingen van uw besturingssysteem, niet via de EDR-portal.