O slideshow foi denunciado.
Utilizamos seu perfil e dados de atividades no LinkedIn para personalizar e exibir anúncios mais relevantes. Altere suas preferências de anúncios quando desejar.
MVISION EDR
Оперативне виявлення загроз
та реагування
19 / 11 / 19
Владислав Радецький
vr@optidata.com.ua
#whoami
Працюю у компанії OptiData
Аналізую віруси. Пишу статті.
Проводжу навчання з різних аспектів ІБ
Допомагаю з проект...
Реальна швидкість реагування ІТ/ІБ на інцидент
Контакт – фішинг (email) або екплойт-кіт (web/IM)
Активація malware
Збір ін...
EDR – що це таке і для чого ?
• EDR надає можливість виявлення артефактів (IOC) та дозволяє
оператору здійснювати оператив...
• Створений ще у 2015. Експлуатується та розвивається.
• Функціонал = Collectors / Searches / Reactions / Triggers + Analy...
MVISION EDR – ключові моменти
• Окремий (самостійний) модуль під Win/Lin/Mac (MA + DXL + EDR)
• Не залежить від наявності ...
MVISION EDR – робота з реальним malware
The Hurt Locker (2008)
MVISION EDR – архітектура
Реагування
Перевірка
Збір даних, їх аналіз та збагачення через GTI
Кероване розслідування
Підсві...
MVISION EDR – архітектура #2
Класичний еРО (on-premise) MVISION ePO (Cloud)
MVISION EDR – підсвітка аномалій
MVISION EDR – пошук маркерів (артефактів)
• 20 вбудованих Collectors + можливість створювати власні
• Простий синтаксис по...
MVISION EDR – контрзаходи
• (Грубі) – Quarantine, shutdown, reboot, user logoff
• (Тонкі) – Kill Process, Remove File, Del...
MVISION EDR – форензика, розслідування
MVISION EDR – частина нової лінійки рішень McAfee
Практичні поради
+ Переконайте персонал активувати 2FA (через додаток, не СМС)
+ Забороніть персоналу зберігати паролі в б...
Дякую вам за увагу!
#IOC та звіти шукайте тут:
radetskiy.wordpress.com
pastebin.com/u/VRad
Próximos SlideShares
Carregando em…5
×
Próximos SlideShares
What to Upload to SlideShare
Avançar
Transfira para ler offline e ver em ecrã inteiro.

0

Compartilhar

Baixar para ler offline

MVISION EDR - пошук та знешкодження malware (part 1)

Baixar para ler offline

MVISION EDR - рішення McAfee для пошуку артефактів, проведення розслідувань та застосування адекватних контрзаходів проти сучасних загроз. Дивіться відео щоб знати більше: https://www.youtube.com/watch?v=Z_GJm4IqAnI
Будьте уважні та обережні.

  • Seja a primeira pessoa a gostar disto

MVISION EDR - пошук та знешкодження malware (part 1)

  1. 1. MVISION EDR Оперативне виявлення загроз та реагування 19 / 11 / 19 Владислав Радецький vr@optidata.com.ua
  2. 2. #whoami Працюю у компанії OptiData Аналізую віруси. Пишу статті. Проводжу навчання з різних аспектів ІБ Допомагаю з проектуванням, впровадженням та супроводом різних засобів захисту. vr@optidata.com.ua radetskiy.wordpress.com pastebin.com/u/VRad VR
  3. 3. Реальна швидкість реагування ІТ/ІБ на інцидент Контакт – фішинг (email) або екплойт-кіт (web/IM) Активація malware Збір інформації / паролі / документи Спрацювання AV / сповіщення SIEM Аналіз інциденту… 0 2 5 15 30 хв
  4. 4. EDR – що це таке і для чого ? • EDR надає можливість виявлення артефактів (IOC) та дозволяє оператору здійснювати оперативне втручання* *класичний АВ може лише видалити файл / відновити з карантину • Є логічним розвитком власного SOC або відділу ІБ • Порівняно з АВ, потребує від оператора глибших навичок антивірус пісочниця EDR
  5. 5. • Створений ще у 2015. Експлуатується та розвивається. • Функціонал = Collectors / Searches / Reactions / Triggers + Analyze • Із версії 2.0 залежить від McAfee Endpoint Security (ENS) • Потребує додаткової “обв'язки”: McAfee Active Response (MAR) TIE 2.3 ePO ePODXL TIE MAR 3в1
  6. 6. MVISION EDR – ключові моменти • Окремий (самостійний) модуль під Win/Lin/Mac (MA + DXL + EDR) • Не залежить від наявності антивірусу McAfee • Може співіснувати з іншими АВ (MS, Symantec, ESET …) • Керування – з класичного еРО або ж з MVISION ePO (Cloud) • Обробка даних у хмарі McAfee (окремий ЦОД у Франкфурті) • Функціонал = Collectors / Searches / Reactions / + Investigator
  7. 7. MVISION EDR – робота з реальним malware The Hurt Locker (2008)
  8. 8. MVISION EDR – архітектура Реагування Перевірка Збір даних, їх аналіз та збагачення через GTI Кероване розслідування Підсвітка аномалій Аналітика Збагачення даними з журналів Трейси Пошук артефактів • Агенти EDR відстежують поведінку систем* (Win Lin Mac) • Аналіз та збагачення зібраного – в хмарі McAfee. 30 або 90 днів зберігання. • Аномалії підсвічуються + перевірка по матриці MITRE ATT&CK • По вибраним процесам/системам – дії + розслідування
  9. 9. MVISION EDR – архітектура #2 Класичний еРО (on-premise) MVISION ePO (Cloud)
  10. 10. MVISION EDR – підсвітка аномалій
  11. 11. MVISION EDR – пошук маркерів (артефактів) • 20 вбудованих Collectors + можливість створювати власні • Простий синтаксис пошукових запитів = оперативний тріаж інфікованих систем
  12. 12. MVISION EDR – контрзаходи • (Грубі) – Quarantine, shutdown, reboot, user logoff • (Тонкі) – Kill Process, Remove File, Delete REG, Delete Folder, Stop & Remove • Конструктор власних реакцій – команди ОС, скрипти powershell, bash, etc.
  13. 13. MVISION EDR – форензика, розслідування
  14. 14. MVISION EDR – частина нової лінійки рішень McAfee
  15. 15. Практичні поради + Переконайте персонал активувати 2FA (через додаток, не СМС) + Забороніть персоналу зберігати паролі в браузерах (це не жарт) + Покажіть персоналу що таке Private/Incognito режим та Logoff (web) + Забороніть обговорення роботи та документи через Viber/Telegram + Подбайте про бекапи та оновлення ОС і ПЗ + Забороніть браузерам відкривати PDF. Є Foxit/PDFExchange.. + AdBlock та NoScript – ваші союзники, а Flash та Java – навпаки.. + Видаляйте історію в месенджерах; 4G (3G) краще чужого Wi-Fi
  16. 16. Дякую вам за увагу! #IOC та звіти шукайте тут: radetskiy.wordpress.com pastebin.com/u/VRad

MVISION EDR - рішення McAfee для пошуку артефактів, проведення розслідувань та застосування адекватних контрзаходів проти сучасних загроз. Дивіться відео щоб знати більше: https://www.youtube.com/watch?v=Z_GJm4IqAnI Будьте уважні та обережні.

Vistos

Vistos totais

979

No Slideshare

0

De incorporações

0

Número de incorporações

892

Ações

Baixados

1

Compartilhados

0

Comentários

0

Curtir

0

×