分析恶意软件威胁
本文档概述了调查和处理潜在恶意软件入侵的分步流程。及时且精准的分析对于准确确定安全漏洞的范围并实施适当的对策至关重要。
了解警报
Endpoint Central的威胁检测引擎已在您的网络中标记了可疑活动。为了准确评估情况,确认入侵性质后再对安全漏洞进行分类至关重要。
入侵时间
使用 事件 选项卡查看关键信息:
- 受感染设备:受影响设备数量
- 事件状态:解决阶段
- 发现时间:入侵发生时间
- 警报:生成的警报数量
- 操作:将入侵分类为 真阳性/假阳性
分析收到的警报
点击事件并访问 摘要 部分查看重要事件详情。
进行一级分析时:
- 核实应用签名的真实性,以检测任何潜在篡改或未经授权的修改。
- 通过在 VirusTotal 交叉验证SHA-256值,确认其有效性,检查是否有恶意活动迹象。
- 获取首个受感染设备的信息,包括详细信息和时间戳,以有效跟踪和分析事件。
- 利用组织和流程详情评估警报的可信度,将真阳性和假阳性区分开。
- 收到的警报根据配置可进一步分类为:
- 事件已检测
- 事件已阻止
- 事件已拦截
| 参数 | 已检测事件 | 已阻止事件 | 已拦截入侵 |
|---|---|---|---|
| 初始状态 | 已检测到事件。 | 事件已成功阻止。 | 尝试入侵已被拦截。 |
| 紧急程度 | 需要紧急关注。 | 事件已被阻止,无需立即关注。 | 可能需要紧急关注,但入侵已被拦截。 |
| 用户需采取的操作 | 调查并标注入侵为真阳性或假阳性。 | 可以进行进一步分析以加强安全性。 | 入侵已被拦截,可能需要立即用户操作。 |
| 积极措施 | 调查并标注入侵,确保系统安全。 | 基于进一步分析加强安全措施。 | 预防并拦截入侵,确保网络稳定性。 |
| 后续操作 | 修改配置以在未来事件中启用预防/拦截。 | 调查更多细节以加强安全措施。 | 监控潜在的未来事件。 |
| 文件修改 | 如果发生文件修改,请将设备恢复到恶意软件感染前的状态。 | 无需操作 | 如果发生文件修改,请将设备恢复到恶意软件感染前的状态。 |
| 系统稳定性 | 可能影响系统完整性和安全性。 | 确保系统安全和稳定性。 | 维护系统完整性和安全性。 |
进行二级分析时:
展开 事件摘要 选项卡内。通过检查进程来源、子进程和命令行工具,获得详细信息。点击子进程可查看详细信息,包括SHA值、映像路径和命令行详情。 警报 VirusTotal 验证
真阳性
-
通过:
验证可确认哈希值为真阳性,提供恶意软件试图入侵的确凿证据。VirusTotal 使用多种杀毒扫描引擎对文件进行全面分析以检测潜在威胁。验证后,请采取积极安全措施,将受感染设备隔离。 VirusTotal 继续隔离受感染设备
-
有时点击 VirusTotal 可能显示结果不明确或无结果。在这种情况下,需要进一步调查。:
远程访问或手动检查受影响设备。
- 查找异常磁盘活动、新账户、勒索软件和文件加密迹象。
- 如果是真阳性,执行事件响应计划。
- 如果是假阳性,
- 请参阅此处 将其标记为假阳性。 受到以下客户信赖
