Os clientes do Malwarebytes Endpoint Detection and Response podem usar o recurso Flight Recorder. Este recurso permite pesquisar dados de eventos capturados de todos os endpoints gerenciados pelo Malwarebytes Endpoint Detection and Response, para investigar e identificar indicadores de compromisso (IoC). Você pode pesquisar dados como arquivos, registro, processos e atividades de rede até as últimas 30 dias para caçar ameaças ou analisar como um compromisso ocorreu em seu ambiente.
Este artigo explica como pesquisar dados de eventos na seção Flight Recorder, e os tipos de dados que você pode investigar nos resultados da pesquisa. Para ver esta seção na console Nebula, clique em Flight Recorder no painel de navegação do lado esquerdo.
Pesquisar dados de eventos com o Flight Recorder
A página Flight Recorder tem opções de Pesquisa Básica e Pesquisa Avançada, descritas abaixo:
Pesquisa Básica
Uma função de pesquisa geral que examina os dados do sistema e fornece uma lista de resultados de endpoint em relação à sua consulta. Os parâmetros Básicos de Pesquisa incluem:
- Caminho do processo
- Nome do processo
- Cerquilha
- Endereço IP ou domínio. A alternância de eventos de rede deve ser ativada em Configurações de política para pesquisar esses tipos de dados. Para habilitar essa configuração, consulte: Definir opções de Configurações na plataforma Nebula da Malwarebytes
Busca Avançada
Uma pesquisa detalhada que inclui parâmetros e operadores que podem ser usados para criar consultas complexas do sistema. Os parâmetros de Pesquisa Avançada incluem:
- PC Nome de anfitrião
- Conta de usuário
- Nome do processo
- Caminho do Processo
- ID do processo
- Linha de comando
- Endereço IP contatado
- Domínios contatados
- Arquivos escritos
- Processo MD5
- Processo SHA1
- Processo SHA256
- Processo SHA512
Os operadores de Pesquisa Avançada incluem:
- Igual a
- Diferente de
- Contém
- Não contém
- Começa com
- Termina com
A Pesquisa Básica e a Pesquisa Avançada podem escolher filtrar até quando, historicamente, aplicar a consulta de pesquisa. Este filtro permite escolher os seguintes intervalos de tempo:
- Últimos 30 dias
- Últimas 2 semanas
- Últimos 7 dias
- Últimos 3 dias
- Últimas 24 horas
- Últimas 12 horas
- Últimas 6 horas
- Última hora
- Últimos 30 minutos
Os operadorOs operadores de pesquisa avançada incluem:es de pesquisa avançada incluem:
Investigar a informação mostrada no Flight Recorder
As informações mostradas a partir de uma pesquisa no Flight Recorder destinam-se a análise retrospectiva, investigação e como identificar quais de seus pontos finais são afetados ou relacionados aos processos. Esses resultados ajudam na sua tomada de decisão para o que é melhor para o seu ambiente de negócios único. Esses resultados são exibidos no gráfico da barra Tipos de Eventos, e uma lista correspondente de dispositivos na tabela Endpoints.
Gráfico de Tipos de Eventos
O gráfico de barras com os Tipos de Eventos mostra o total de ocorrências encontradas pelos seus parâmetros de pesquisa, no período de pesquisa escolhido. Os códigos de cores utilizado, mostra quais tipos de eventos foram encontrados na pesquisa. Voce pode passar o mouse sobre as barras do gráfico para verificar o total de eventos relacionados com seus endpoints. Estes eventos estão divididos em:
- Processo: Mostrado em roxo. ( )
- Registro: Mostrado em amarelo. ( )
- Sistema de arquivos: Mostrado em azul. ( )
- Rede: Mostrado em laranja. ( )
Tabela de Endpoints
Abaixo do gráfico Tipos de Eventos está a tabela de Endpoints correspondente. Esta tabela lista seus endpoints relacionados à sua consulta de pesquisa. Cada item da linha exibe as informações em colunas diferentes. Estas colunas são:
- Endpoint: Nome do endpoint. Clique no ícone do filtro () para pesquisar por um endpoint específico na lista de resultados.
- OS Type: Mostra o sistema operacional do endpoint na lista de resultados.
- Group: Mostra o grupo do endpoint.
- Policy: Mostra a política usada pelo endpoint.
- First Seen: Mostra quando (data/hora) o evento foi detectado pela primeira vez.
- Last Seen: Mostra quando (data/hora) o evento foi detectado pela última vez.
- Events: Mostra os diferentes tipos de eventos encontrados pelo Flight Recorder. Passe o cursor sobre os ícones codificados por cores para ver a quantidade de cada tipo de evento. As cores correspondem ao gráfico Tipos de Eventos.
- Suspicious Activity: Se o endpoint tiver uma detecção de atividade suspeita, você pode clicar no ícone ( ) para ir à página Detalhes de Atividades Suspeitas e obter mais informações.
Você pode selecionar as caixas ao lado dos endpoints e selecionar a ação Isolate Endpoint(s) do menu drop down Actions, localizado á direita e acima, se voce achar que eles são um risco ao seu ambiente. Você também pode selecionar Remove Isolation no mesmo menu. Se você quiser investigar mais, você pode clicar em um endpoint para ver mais detalhes na janela pop-up de Informações de Processo.
Informações do Processo
Quando você clica em um endpoint nos resultados de pesquisa do Flight Recorder, a janela pop-up de Process Information se abre para exibir mais dados. Isso mostra informações mais detalhadas dos eventos detectados neste endpoint para ajudar na sua tomada de decisão. Você também pode iniciar o Endpoint Isolation no endpoint selecionado no pop-up de informações de processo. Esta janela mostra as seguintes informações, nas seguintes colunas:
- Process Path: Nome e localização do processo encontrado pelo Flight Recorder. Clique em um caminho de processo para visualizar a representação visual do processo selecionado. Cada nó é selecionável com detalhes de slide out, incluindo informações do Raw Event. Isso mostra detalhes como o Gráfico de Processo para Detalhes de Atividades Suspeitas. Para obter informações sobre o Gráfico de Processo, veja Detalhes de Atividade Suspeita em Malwarebytes Endpoint Detection and Response.
- First Seen: Mostra quando (data/hora) o evento foi detectado pela primeira vez.
- Last Seen: Mostra quando (data/hora) o evento foi detectado pela última vez.
- PID: Número único que identifica cada processo em execução em um endpoint.
- SHA256: Valor do hash dado a um arquivo, se aplicável.
- Virus Total: Se o evento tiver um hash SHA256, um link Check Now será exibido na coluna Virus Total. Clique neste link para abrir o site do Virus Total em uma nova guia do navegador. Este site exibe o caminho do processo como se fosse encontrado por fornecedores antivírus de terceiros. Isso pode ajudá-lo a determinar se o evento é um falso positivo. NOTA: O VirusTotal é um site de terceiros não associado à Malwarebytes. Para obter informações, consulte os Termos de Serviço do Virus Total.
- Events: Mostra os diferentes tipos de eventos encontrados pelo Flight Recorder. Passe o cursor sobre os ícones codificados por cores para ver a quantidade de cada tipo de evento. As cores correspondem ao gráfico Tipos de Eventos.
Source : Official Malwarebytes Brand
Editor by : BEST Antivirus KBS Team