Esamina gli incidenti di sicurezza
In primo luogo, osserva la dashboard di Gestione degli incidenti, che fornisce una visione centralizzata di tutti gli incidenti di sicurezza in corso, insieme a relativo stato, gravità e altri dettagli.
Vedi un incidente che richiede attenzione e fai clic per aprirlo.
Approfondisci i dettagli degli incidenti
Dalla pagina di panoramica dell'incidente, raccogli altri dati:
![tick]()
Il punteggio dell'incidente per la gravità![tick]()
Le risorse compromesse![tick]()
Le fonti di dati per gli avvisi attivati![tick]()
Le risposte automatiche già eseguite
Il punteggio dell'incidente per la gravitàApprofondisci i dettagli degli incidenti
Per generare questo incidente, Cortex XDR ha creato record dettagliati di attività, unendo eventi provenienti da più fonti, stabilendo la connessione tra host, identità, traffico di rete e altro ancora per ampliare il contesto dell'incidente.
Centinaia di modelli di apprendimento automatico hanno ricercato attività anomale all'interno dei dati combinati, generando nuovi avvisi di rilevamento.
Cortex XDR ha poi raggruppato gli avvisi correlati in un unico incidente, tracciando un quadro completo dell'attacco e riducendo del 98% il numero di avvisi da esaminare manualmente.
Identifica risorse compromesse
Nell'ambito dell'incidente, noti che un PC Windows e un server per Internet ospitato nel cloud potrebbero essere stati compromessi.
Controlla il framework MITRE ATT&CK®
L'attacco viene inoltre mappato al framework MITRE ATT&CK®, che fornisce una tassonomia standardizzata per la classificazione e la descrizione delle minacce informatiche e delle tecniche di attacco. Mappando automaticamente un attacco a questo framework, Cortex XDR offre una visione completa di tutte le attività correlate.
Indaga con avvisi e insight
Gli avvisi critici confermano che il PC Windows è stato compromesso.
In fondo all'elenco, vedi che il server ospitato nel cloud presenta un allarme di media gravità. Nell'avviso scopri che è stato tentato un attacco di forza bruta, che non è andato a buon fine.
Ora è il momento di isolare il PC Windows compromesso per impedire all'attacco di espandersi ulteriormente.
Blocca l'attacco sul nascere
L'isolamento di un endpoint aiuta a contenere la diffusione di malware e altre minacce.
Scollegando l'endpoint compromesso dalla rete, impedisci che la minaccia si propaghi ad altri dispositivi o sistemi, limitando la portata e l'impatto dell'incidente.
Ricerca e distruggi il malware
Ora è il momento di cercare e distruggere il file ransomware.
Utilizzando il terminale live, puoi eseguire comandi e script in remoto sugli endpoint per facilitare una rapida risoluzione senza dover accedere fisicamente ai dispositivi interessati.
Alza il sipario
Perché questo attacco non è stato bloccato dall'agente endpoint?
Ai fini di questa dimostrazione, abbiamo impostato la policy degli endpoint solo sulla segnalazione, cosa che ha consentito all'attacco di progredire, pur fornendo informazioni sui suoi progressi. Questo ci ricorda anche l'importanza di seguire sempre le migliori pratiche durante la configurazione delle policy.
Ora, impostiamo la policy di blocco e andiamo avanti!
Identifica le lacune di sicurezza e garantisci l'allineamento con gli standard normativi
Dopo aver analizzato bene l'incidente ransomware, ti ricordi che una risorsa cloud è stata coinvolta in un tentativo di attacco di forza bruta. Tenendo presente questo aspetto, inizi a lavorare su alcune misure di sicurezza proattive per migliorare la sicurezza del cloud.
Le funzionalità di conformità del cloud di Cortex XDR eseguono controlli di conformità del Center for Internet Security (CIS) sulle risorse cloud. Questo aiuta a identificare potenziali lacune nella sicurezza, mitigare i rischi ed evitare multe o sanzioni normative.
Noti che la conformità è solo del 74% e decidi che è importante includerla nel tuo report finale.
Valuta le vulnerabilità in una singola dashboard
Dal momento che durante l'indagine è stato scoperto un PC compromesso, utilizzi la funzionalità di valutazione delle vulnerabilità per verificare la presenza di potenziali vulnerabilità a cui potrebbero non essere state applicate patch e che potrebbero essere sfruttate.
Vedi che il PC compromesso che hai segnalato presenta diverse vulnerabilità che hanno contribuito all'attacco ransomware, che ti forniscono le informazioni necessarie per iniziare ad applicare patch.
Genera report concisi e semplici
È il momento di generare report per il tuo manager in un formato conciso. Puoi scegliere tra una serie di modelli precostituiti o creare report personalizzati.
Generi report sulle indagini, tra cui Gestione degli incidenti, Conformità al cloud e Valutazione delle vulnerabilità.
Fai clic su una riga per generare un report
È l'ora del surf!
Congratulazioni. Hai indagato e risolto con successo l'attacco ransomware. L'indagine ha rivelato:
![tick]()
Un tentativo di attacco di forza bruta su una risorsa cloud![tick]()
Un PC con una vulnerabilità senza patch![tick]()
Una policy di sicurezza impostata solo sul reporting, che consente all'attacco di progredire.
Fortunatamente, hai rapidamente isolato l'endpoint compromesso ed eliminato il file ransomware senza accedere fisicamente al PC.
Sono stati generati report dettagliati dell'intero incidente. Puoi tornare in spiaggia in meno di un'ora.
Non c'è tempo più prezioso del tempo in più
Cortex XDR consente agli analisti della sicurezza di concentrarsi su ciò che sanno fare meglio. Le operazioni di sicurezza possono sfruttare Cortex XDR per:
![tick]()
Prevenire minacce come il ransomware su endpoint e carichi di lavoro nel cloud![tick]()
Accelerare il tempo medio di rilevamento (MTTD) alla velocità della macchina![tick]()
Rispondere rapidamente alla causa principale degli attacchi
Ottieni maggiore sicurezza con Cortex XDR.
98% di riduzione degli avvisi
Indagini 8 volte più veloci
Prevenzione e rilevamento al 100% senza modifiche alla configurazione in MITRE Engenuity 2023