Green linesGreen lines

Esamina gli incidenti di sicurezza

In primo luogo, osserva la dashboard di Gestione degli incidenti, che fornisce una visione centralizzata di tutti gli incidenti di sicurezza in corso, insieme a relativo stato, gravità e altri dettagli.

Vedi un incidente che richiede attenzione e fai clic per aprirlo.

Approfondisci i dettagli degli incidenti

Dalla pagina di panoramica dell'incidente, raccogli altri dati:

  • tick Il punteggio dell'incidente per la gravità
  • tick Le risorse compromesse
  • tick Le fonti di dati per gli avvisi attivati
  • tick Le risposte automatiche già eseguite

Approfondisci i dettagli degli incidenti

Per generare questo incidente, Cortex XDR ha creato record dettagliati di attività, unendo eventi provenienti da più fonti, stabilendo la connessione tra host, identità, traffico di rete e altro ancora per ampliare il contesto dell'incidente.

Centinaia di modelli di apprendimento automatico hanno ricercato attività anomale all'interno dei dati combinati, generando nuovi avvisi di rilevamento.

Cortex XDR ha poi raggruppato gli avvisi correlati in un unico incidente, tracciando un quadro completo dell'attacco e riducendo del 98% il numero di avvisi da esaminare manualmente.

Identifica risorse compromesse

Nell'ambito dell'incidente, noti che un PC Windows e un server per Internet ospitato nel cloud potrebbero essere stati compromessi.

Controlla il framework MITRE ATT&CK®

L'attacco viene inoltre mappato al framework MITRE ATT&CK®, che fornisce una tassonomia standardizzata per la classificazione e la descrizione delle minacce informatiche e delle tecniche di attacco. Mappando automaticamente un attacco a questo framework, Cortex XDR offre una visione completa di tutte le attività correlate.

Indaga con avvisi e insight

Gli avvisi critici confermano che il PC Windows è stato compromesso.

In fondo all'elenco, vedi che il server ospitato nel cloud presenta un allarme di media gravità. Nell'avviso scopri che è stato tentato un attacco di forza bruta, che non è andato a buon fine.

Ora è il momento di isolare il PC Windows compromesso per impedire all'attacco di espandersi ulteriormente.

Blocca l'attacco sul nascere

L'isolamento di un endpoint aiuta a contenere la diffusione di malware e altre minacce.

Scollegando l'endpoint compromesso dalla rete, impedisci che la minaccia si propaghi ad altri dispositivi o sistemi, limitando la portata e l'impatto dell'incidente.

Ricerca e distruggi il malware

Ora è il momento di cercare e distruggere il file ransomware.

Utilizzando il terminale live, puoi eseguire comandi e script in remoto sugli endpoint per facilitare una rapida risoluzione senza dover accedere fisicamente ai dispositivi interessati.

Alza il sipario

Perché questo attacco non è stato bloccato dall'agente endpoint?

Ai fini di questa dimostrazione, abbiamo impostato la policy degli endpoint solo sulla segnalazione, cosa che ha consentito all'attacco di progredire, pur fornendo informazioni sui suoi progressi. Questo ci ricorda anche l'importanza di seguire sempre le migliori pratiche durante la configurazione delle policy.

Ora, impostiamo la policy di blocco e andiamo avanti!

Identifica le lacune di sicurezza e garantisci l'allineamento con gli standard normativi

Dopo aver analizzato bene l'incidente ransomware, ti ricordi che una risorsa cloud è stata coinvolta in un tentativo di attacco di forza bruta. Tenendo presente questo aspetto, inizi a lavorare su alcune misure di sicurezza proattive per migliorare la sicurezza del cloud.

Le funzionalità di conformità del cloud di Cortex XDR eseguono controlli di conformità del Center for Internet Security (CIS) sulle risorse cloud. Questo aiuta a identificare potenziali lacune nella sicurezza, mitigare i rischi ed evitare multe o sanzioni normative.

Noti che la conformità è solo del 74% e decidi che è importante includerla nel tuo report finale.

Valuta le vulnerabilità in una singola dashboard

Dal momento che durante l'indagine è stato scoperto un PC compromesso, utilizzi la funzionalità di valutazione delle vulnerabilità per verificare la presenza di potenziali vulnerabilità a cui potrebbero non essere state applicate patch e che potrebbero essere sfruttate.

Vedi che il PC compromesso che hai segnalato presenta diverse vulnerabilità che hanno contribuito all'attacco ransomware, che ti forniscono le informazioni necessarie per iniziare ad applicare patch.

Genera report concisi e semplici

È il momento di generare report per il tuo manager in un formato conciso. Puoi scegliere tra una serie di modelli precostituiti o creare report personalizzati.

Generi report sulle indagini, tra cui Gestione degli incidenti, Conformità al cloud e Valutazione delle vulnerabilità.

Fai clic su una riga per generare un report

ID REPORT
ORA DI CREAZIONE
NOME
DESCRIZIONE
492
12 aprile 2024 00:46:39
Report sull'inventario cloud
Fornisce un'analisi dettagliata dei principali incidenti e host nelle organizzazioni e una panoramica dei principali incidenti.
493
12 aprile 2024 00:46:07
Report sulla gestione del rischio
Fornisce una panoramica dello stato di valutazione della vulnerabilità di tutti gli endpoint e le applicazioni.
488
12 aprile 2024 13:15:22
Report sulla gestione degli incidenti
Fornisce un'analisi dettagliata dei principali incidenti e host nelle organizzazioni e una panoramica dei principali incidenti.
489
12 aprile 2024 13:15:05
Report sulla conformità al cloud
Fornisce una panoramica dello stato di conformità ai benchmark CIS.
490
12 aprile 2024 13:14:45
Report sulla valutazione delle vulnerabilità
Fornisce una panoramica dello stato di valutazione della vulnerabilità di tutti gli endpoint e le applicazioni.
491
12 aprile 2024 13:14:10
Report sull'inventario cloud
Fornisce un'analisi dettagliata di tutte le risorse cloud per account, tipo e posizione, insieme al numero di risorse nel tempo (aggiornamento ogni 2 ore).
492
12 aprile 2024 00:46:39
Report sulla gestione del rischio
Fornisce una panoramica dei rischi correlati all'identità, delle tendenze e delle statistiche.
493
12 aprile 2024 00:46:07
Report sulla gestione del rischio
Fornisce un'analisi dettagliata di tutte le risorse cloud per account, tipo e posizione, insieme al numero di risorse nel tempo (aggiornamento ogni 2 ore).
492
12 aprile 2024 00:46:39
Report sull'inventario cloud
Fornisce una panoramica dei rischi correlati all'identità, delle tendenze e delle statistiche.
493
12 aprile 2024 00:46:07
Report sulla gestione del rischio
Fornisce un'analisi dettagliata di tutte le risorse cloud per account, tipo e posizione, insieme al numero di risorse nel tempo (aggiornamento ogni 2 ore).
reportclose

È l'ora del surf!

Congratulazioni. Hai indagato e risolto con successo l'attacco ransomware. L'indagine ha rivelato:

  • tick Un tentativo di attacco di forza bruta su una risorsa cloud
  • tick Un PC con una vulnerabilità senza patch
  • tick Una policy di sicurezza impostata solo sul reporting, che consente all'attacco di progredire.

Fortunatamente, hai rapidamente isolato l'endpoint compromesso ed eliminato il file ransomware senza accedere fisicamente al PC.

Sono stati generati report dettagliati dell'intero incidente. Puoi tornare in spiaggia in meno di un'ora.

Non c'è tempo più prezioso del tempo in più

Cortex XDR consente agli analisti della sicurezza di concentrarsi su ciò che sanno fare meglio. Le operazioni di sicurezza possono sfruttare Cortex XDR per:

  • tick Prevenire minacce come il ransomware su endpoint e carichi di lavoro nel cloud
  • tick Accelerare il tempo medio di rilevamento (MTTD) alla velocità della macchina
  • tick Rispondere rapidamente alla causa principale degli attacchi

Ottieni maggiore sicurezza con Cortex XDR.

surf 1

98% di riduzione degli avvisi

surf 2

Indagini 8 volte più veloci

surf 3

Prevenzione e rilevamento al 100% senza modifiche alla configurazione in MITRE Engenuity 2023