What is an EDR alert and what should I do when I see one?

EDR stands for Endpoint Detection and Response. An EDR alert means your security software detected something unusual on your device, like an unexpected process, a suspicious file change, or an unusual network connection. Do not ignore it. Check the alert description, note the time and what you were doing, and report it to your IT security team. Most alerts turn out to be false positives, but the ones that are real can indicate active malware, lateral movement, or data exfiltration. The Ponemon Institute reports the average time to identify a breach is 204 days. Quick reporting by employees cuts that window dramatically.

Why does endpoint patching matter if we already have antivirus and EDR software?

Antivirus software catches known malware signatures, but it cannot fix the underlying vulnerability an attacker exploits to gain access. A patch closes the actual security hole. The 2017 Equifax breach, which exposed 147 million records, happened through an Apache Struts vulnerability that had a patch available two months earlier. EDR and antivirus detect threats after they appear. Patches prevent them from working in the first place. Both are necessary, and skipping patches undercuts everything your security tools are trying to do.

Endpoint Patching та EDR-сповіщення

Know what your EDR alert means and what to do next.

Що таке Endpoint Patching та EDR-сповіщення?

EDR-сповіщення з'являється на Вашому екрані серед ранку. Щось про 'підозріле виконання процесу'. Це хибне спрацювання чи початок реального інциденту? Більшість працівників завмирають, побачивши такі сповіщення, тому що ніхто не навчив їх, що ці сповіщення насправді означають. Ця вправа ставить Вас перед живою EDR-панеллю. Ви побачите конкретні типи сповіщень, які генерують інструменти безпеки: аномалії процесів, несанкціоновані зміни реєстру, незвичайні мережеві з'єднання та підозрілі модифікації файлів. Для кожного сповіщення Ви вирішуєте, чи ігнорувати його, досліджувати далі або негайно ескалувати. Симуляція також охоплює, чому встановлення патчів кінцевих точок важливе з Вашої позиції, а не лише з позиції ІТ-команди. Коли Ваша машина пропускає патч, це створює прогалину, яку зловмисники сканують. Ponemon Institute виявив, що 57% жертв витоків даних використовували відомо вразливе ПЗ на момент компрометації. Ви перевірите свій власний стан патчів, розпізнаєте, коли сповіщення про оновлення є терміновим, та зрозумієте різницю між звичайним оновленням та екстреним виправленням безпеки. Вправа показує, що відбувається, коли Ви відхиляєте EDR-сповіщення, яке виявляється реальним. Вона також охоплює більш поширений сценарій: як повідомити про справжнє сповіщення без створення зайвої паніки.

Що ви дізнаєтесь у Endpoint Patching та EDR-сповіщення

Визначати поширені типи EDR-сповіщень, включаючи аномалії процесів, несанкціоновані зміни реєстру та підозрілі мережеві з'єднання
Проводити тріаж сповіщень безпеки кінцевих точок за рівнем серйозності та визначати правильну реакцію для кожної категорії
Перевіряти поточний стан патчів Вашого пристрою та розпізнавати різницю між звичайними оновленнями та екстреними патчами безпеки
Ескалювати справжні EDR-сповіщення через належні канали з точною інформацією про те, що Ви спостерігали
Розуміти, чому встановлення патчів кінцевих точок зменшує площу атаки Вашої організації, з посиланням на дані Ponemon Institute про те, що 57% жертв витоків використовували відомо вразливе ПЗ

Endpoint Patching та EDR-сповіщення — Кроки навчання

вступ

Сьогодні ви дізнаєтесь, як системи виявлення та реагування на кінцеві точки (EDR) відстежують вашу робочу станцію на наявність загроз і що робити, коли вони виявляють щось підозріле.
Рутинний четвер

Сьогодні четвер після обіду. Аліса завершує щоквартальний звіт про аналіз, коли її увагу в системній панелі привертає незвичайне сповіщення. Маленький значок щита блимає бурштиновим кольором - агент EDR компанії намагається привернути її увагу.
Сповіщення EDR

Сповіщення EDR розгортається, щоб показати більше деталей: Sentinel Shield EDR - сповіщення Рівень серйозності: високий Тип: підозріла поведінка процесу Деталі: процес намагався отримати доступ до конфіденційних областей пам’яті. Ця модель поведінки пов’язана з інструментами збору облікових даних. Статус: частково заблоковано — потрібні негайні дії Рекомендовано: перегляньте деталі сповіщення, установіть незавершене оновлення безпеки та повідомте про інцидент.
Вхід на портал ЄДР

Натиснувши «Переглянути деталі», у браузері Аліси відкрився портал Sentinel Shield EDR. Їй потрібно ввійти, щоб переглянути повну інформацію про сповіщення та статус захисту кінцевої точки.
Інформаційна панель EDR

Інформаційна панель порталу EDR швидко показує стан робочої станції Аліси: Статус кінцевої точки: захищено Останнє сканування: сьогодні, 14:30 Виявлено загрозу: 1 (сьогодні) — Частково заблоковано Версія агента: 8.2.1 (поточна) Статус виправлення: 1 оновлення Очікує на розгляд Доступне критичне оновлення системи безпеки KB5034441 Очікує на розгляд: 3 дні тому Аліса помітила, що в стані сповіщення зазначено «Частково заблоковано» — не повністю заблоковано. Відсутнє оновлення безпеки дало зловмиснику короткий доступ.
Деталі сповіщення

Подробиці тривоги показують, що сталося: Ідентифікатор сповіщення: EDR-2024-847291 Час виявлення: сьогодні, 14:47 Статус: частково заблоковано Процес: svchost_update.exe (Підозріле ім’я, що імітує законний процес) Джерело: завантажений файл — виконання макросу 'Q3_Budget_Summary.xlsx' Показники поведінки: Спроба отримати доступ до пам’яті LSASS (сховища облікових даних) Створився прихований процес PowerShell Спроба під’єднатися до мережі з невідомою зовнішньою IP-адресою Вжито заходів: Процес припинено після часткового виконання — облікові дані могли бути розкриті Аліса відчуває холод. Процес був не просто заблокований — він тривав достатньо довго, щоб потенційно зібрати її облікові дані, перш ніж EDR його припинив.
Перегляд статусу виправлення

На сторінці стану виправлення показано: Виправлення операційної системи: KB5034441 (критичне оновлення безпеки) — ЧЕКИВАЄ — 3 дні KB5034123 (оновлення функції) — установлено KB5033891 (оновлення безпеки) — встановлено Очікує критичне оновлення Оновлення (KB5034441) виправляє вразливість CVE-2024-38112, яка дозволяє віддалено виконувати код за допомогою шкідливих макросів Office — саме той вектор експлойту, який використовується в сучасній атаці. Оскільки цей патч очікував на розгляд протягом 3 днів, уразливість була відкритою, коли зловмисник завдав удару. EDR виявив зловмисну поведінку, але через відсутність патча облікові дані були частково розкриті. Аліса зауважує, що тут немає кнопки встановлення — EDR відстежує стан виправлення, але виправлення встановлюються через Параметри Windows .
Наслідки

Поки Аліса переглядає інформацію про виправлення, приходить новий електронний лист. Від теми у неї впав живіт. IT Security виявила підозрілі спроби входу до її облікового запису з нерозпізнаної IP-адреси у Східній Європі — протягом останніх 15 хвилин. Розкриття облікових даних через сповіщення EDR не було теоретичним — хтось уже намагається використати її скомпрометовані облікові дані.
Перевірка знань

Перш ніж діяти, давайте переконаємося, що ви розумієте, що сталося і чому.
Встановлення патча

Дотримуючись інструкцій IT Security, Аліса відкриває налаштування Windows, щоб інсталювати критичне оновлення безпеки, яке очікує на розгляд протягом 3 днів. Ось як насправді встановлюються виправлення ОС — через налаштування оновлення операційної системи, а не через портал EDR.

Що таке Endpoint Patching та EDR-сповіщення?

Що ви дізнаєтесь у Endpoint Patching та EDR-сповіщення

Endpoint Patching та EDR-сповіщення — Кроки навчання

вступ

Рутинний четвер

Сповіщення EDR

Вхід на портал ЄДР

Інформаційна панель EDR

Деталі сповіщення

Перегляд статусу виправлення

Наслідки

Перевірка знань

Встановлення патча