Endpoint Patching та EDR-сповіщення

Що ви дізнаєтесь у Endpoint Patching та EDR-сповіщення

• Визначати поширені типи EDR-сповіщень, включаючи аномалії процесів, несанкціоновані зміни реєстру та підозрілі мережеві з'єднання
• Проводити тріаж сповіщень безпеки кінцевих точок за рівнем серйозності та визначати правильну реакцію для кожної категорії
• Перевіряти поточний стан патчів Вашого пристрою та розпізнавати різницю між звичайними оновленнями та екстреними патчами безпеки
• Ескалювати справжні EDR-сповіщення через належні канали з точною інформацією про те, що Ви спостерігали
• Розуміти, чому встановлення патчів кінцевих точок зменшує площу атаки Вашої організації, з посиланням на дані Ponemon Institute про те, що 57% жертв витоків використовували відомо вразливе ПЗ

Endpoint Patching та EDR-сповіщення — Кроки навчання

1. вступ

   Сьогодні ви дізнаєтесь, як системи виявлення та реагування на кінцеві точки (EDR) відстежують вашу робочу станцію на наявність загроз і що робити, коли вони виявляють щось підозріле.

2. Рутинний четвер

   Сьогодні четвер після обіду. Аліса завершує щоквартальний звіт про аналіз, коли її увагу в системній панелі привертає незвичайне сповіщення. Маленький значок щита блимає бурштиновим кольором - агент EDR компанії намагається привернути її увагу.

3. Сповіщення EDR

   Сповіщення EDR розгортається, щоб показати більше деталей: Sentinel Shield EDR - сповіщення Рівень серйозності: високий Тип: підозріла поведінка процесу Деталі: процес намагався отримати доступ до конфіденційних областей пам’яті. Ця модель поведінки пов’язана з інструментами збору облікових даних. Статус: частково заблоковано — потрібні негайні дії Рекомендовано: перегляньте деталі сповіщення, установіть незавершене оновлення безпеки та повідомте про інцидент.

4. Вхід на портал ЄДР

   Натиснувши «Переглянути деталі», у браузері Аліси відкрився портал Sentinel Shield EDR. Їй потрібно ввійти, щоб переглянути повну інформацію про сповіщення та статус захисту кінцевої точки.

5. Інформаційна панель EDR

   Інформаційна панель порталу EDR швидко показує стан робочої станції Аліси: Статус кінцевої точки: захищено Останнє сканування: сьогодні, 14:30 Виявлено загрозу: 1 (сьогодні) — Частково заблоковано Версія агента: 8.2.1 (поточна) Статус виправлення: 1 оновлення Очікує на розгляд Доступне критичне оновлення системи безпеки KB5034441 Очікує на розгляд: 3 дні тому Аліса помітила, що в стані сповіщення зазначено «Частково заблоковано» — не повністю заблоковано. Відсутнє оновлення безпеки дало зловмиснику короткий доступ.

6. Деталі сповіщення

   Подробиці тривоги показують, що сталося: Ідентифікатор сповіщення: EDR-2024-847291 Час виявлення: сьогодні, 14:47 Статус: частково заблоковано Процес: svchost_update.exe (Підозріле ім’я, що імітує законний процес) Джерело: завантажений файл — виконання макросу 'Q3_Budget_Summary.xlsx' Показники поведінки: Спроба отримати доступ до пам’яті LSASS (сховища облікових даних) Створився прихований процес PowerShell Спроба під’єднатися до мережі з невідомою зовнішньою IP-адресою Вжито заходів: Процес припинено після часткового виконання — облікові дані могли бути розкриті Аліса відчуває холод. Процес був не просто заблокований — він тривав достатньо довго, щоб потенційно зібрати її облікові дані, перш ніж EDR його припинив.

7. Перегляд статусу виправлення

   На сторінці стану виправлення показано: Виправлення операційної системи: KB5034441 (критичне оновлення безпеки) — ЧЕКИВАЄ — 3 дні KB5034123 (оновлення функції) — установлено KB5033891 (оновлення безпеки) — встановлено Очікує критичне оновлення Оновлення (KB5034441) виправляє вразливість CVE-2024-38112, яка дозволяє віддалено виконувати код за допомогою шкідливих макросів Office — саме той вектор експлойту, який використовується в сучасній атаці. Оскільки цей патч очікував на розгляд протягом 3 днів, уразливість була відкритою, коли зловмисник завдав удару. EDR виявив зловмисну ​​поведінку, але через відсутність патча облікові дані були частково розкриті. Аліса зауважує, що тут немає кнопки встановлення — EDR відстежує стан виправлення, але виправлення встановлюються через Параметри Windows .

8. Наслідки

   Поки Аліса переглядає інформацію про виправлення, приходить новий електронний лист. Від теми у неї впав живіт. IT Security виявила підозрілі спроби входу до її облікового запису з нерозпізнаної IP-адреси у Східній Європі — протягом останніх 15 хвилин. Розкриття облікових даних через сповіщення EDR не було теоретичним — хтось уже намагається використати її скомпрометовані облікові дані.

9. Перевірка знань

   Перш ніж діяти, давайте переконаємося, що ви розумієте, що сталося і чому.

10. Встановлення патча

    Дотримуючись інструкцій IT Security, Аліса відкриває налаштування Windows, щоб інсталювати критичне оновлення безпеки, яке очікує на розгляд протягом 3 днів. Ось як насправді встановлюються виправлення ОС — через налаштування оновлення операційної системи, а не через портал EDR.