Be Aware Webinar – AMEAÇAS AVANÇADAS: ESTOU COMPROMETIDO? E AGORA?
Be Aware Webinar acontece todas as quartas às 10h30. Curta nossa página no Facebook e acompanhe a programação
20.01.2016
Be Aware Webinar : Alinhando a Estratégia de Segurança: Visibilidade e Confor...
Be Aware Webinar – AMEAÇAS AVANÇADAS: ESTOU COMPROMETIDO? E AGORA?
1. AMEAÇAS AVANÇADAS: ESTOU COMPROMETIDO? E AGORA?
Leandro Vicente
Sr. Systems Engineer - SP
Arthur Fang
Principal Technical Support
Engineer - SP
Diego Almeida
Especialista em Cyber Segurança
5. TAKE THE NEXT STEP
SYMANTEC
ADVANCED THREAT
PROTECTION 2.0
6. Dia do Lançamento
• Symantec Advanced Threat Protection 1.0 : Network & Email – Maio/2015
– Mais de 20 clientes testou o Beta antes de Maio/2015
– Mais de 145 mil agentes em produção
– Tecnologia testada em mais de 200 Milhões de endpoints
– Cynic para Email adicionado em Novembro/2015
• Symantec Endpoint Protection EDR for ATP v2 (SEP 12.1.6 MP3)– Novembro/2015
• Symantec Advanced Threat Protection v2.0 Network, Email e Endpoint –
Dezembro/2015
• Roadmap agressivo para os próximos 6 meses
19. Expressões da busca (continuação…)
Os operadores de busca suportados:
Uma busca com uma expressão inválida mostra um erro com detalhes abaixo da área de
busca.
Operadores Descrição
= Combinação exata de campo com determinado valor.
match Um determinado valor de um campo
like Como um “começar com” comparison of the given value in the field.
!= Negativo do operador “=“
not_match Negativo do operador “match”
not_like Negativo do operador “like”
19
21. Pagina dos pontos
21
Arquivo
Incidentes Relacionados
Eventos Relacionados
Visto nos Endpoints
Origem do download
Nome do arquivo associado ao
Hash
Resultado do Cynic (Sandbox)
Domínio
Incidentes Relacionados
Download dos Arquivos
Endpoints que comunicaram
IP’s Associados com o Domínio
Endpoint
Incidentes Relacionados
Eventos Relacionados
Arquivos Maliciosos
Conexões Maliciosas
22. ADVANCED THREAT PROTECTION: ENDPOINT
SEPM 12.1 RU6 suporta todas as funcionalidades do ATP:ENDPOINT,
porém versões antigas do agente podem ser usadas
Versões
Coleta de
arquivo
Deletar arquivo
IOC
Hunting
Endpoint
Quarantine
Blacklist de
arquivo por
hash
Insight e
Submissões
redirecionadas
para o SEPM
Insight
redirecionado
para o SEPM
Insight Local e
redirecionamento
das Submissões
SEP 12.1 RU6
SEP 12.1 RU5
SEP 12.1 RU4
SEP 12.1 RU3
SEP 12.1 RU2 e
inferiores
Funcionalidades suportadas por versão do SEP
23. Campo Exemplo
De SEP RU5 até
o SEP RU6 MP2
SEP RU6 MP3 e
superior
Caminho do arquivo C:Windows*foo.exe - X
Nome do arquivo C:Windowstempfoo* X X
CSIDL CSIDL_APPDATAantivirusdownloader - X
Variável de ambiente %APPDATA%antivirusdownloader X X
Chave de registro HKLMSoftwareSymantec*InstalledApps - X
Wildcard no valor da
chave de registro
HKLMSoftwareSymantec
Value = *Path
- X
Busca do valor da
chave de registro
Não (valor é
retornado em
resposta)
X
23
Wildcard suportados para busca de evidencias pela versão do SEP
24. Busca da evidência via console do ATP
• Usa a integração com o SEPM para fazer as chamadas no agente do SEP
• Em Push mode a solicitação e o retorno é enviado imediatamente
• Em Pull Mode a busca depende do heartbeat
– A resposta depende do heartbeat configurado no SEPM
– Exemplo: Uma busca de arquivo iniciado com Foo.exe, o Endpoints não vai iniciar a busca do arquivo
Foo.exe antes do heartbeat
• O resultado da pesquisa é retornado imediatamente, quando:
– Busca de Hash
– Pesquisa de nome de arquivo com o caminha é utilizada a verificação rápida
• Uma pesquisa por nome sem o caminho é necessário uma pesquisa complete
24
28. Valores de busca das Evidencias
Operadores suportados
Operador Descrição
= Combinação exata de campo com determinado valor.
match Um determinado valor de um campo
like Como um “começar com” comparison of the given value in the field.
Nome do campo Descrição
filename Busca pelo nome do arquivo
registry Busca pelo valor de uma chave de registro
filehash Busca pelo hash do arquivo (MD5, SHA256)
Operação Logica EOC
OR Filename ou filehash
* Em um caminho e pasta ou nome de arquivo (Somente RU6)
28
29. Nome do arquivo (FileName)
Busca pelo nome do arquivo é suportado nos formatos:
• Variável de ambiente (%windir%, %system32%)
• Caminho CSIDL
– CSIDL_SYSTEM_DRIVE (C:) %Systemdrive%
– CSIDL_DRIVE_FIXED (C:, D:)
– CSIDL_DRIVE (Qualquer letra válida)
• RegEx não é suportado para busca por nome de arquivo (FileName)
• Wildcard suportados
– ? Único caractere
– * Numero de caracteres
29
44. Symantec Managed Security Services
Visibilidade Global
• Mais de 500 clientes em todo mundo
• Visão ampla de ameaças emergentes
• Analistas Symantec reconhecem e respondem
rapidamente a ataques direcionados
Resposta mais rápida
• Melhor visibilidade através do ATP ajuda a
identificar os estágios de campanhas e ataques
complexos, incluindo movimentação lateral
• Minimiza seu tempo de resposta e exposição
Global Intelligence
Endpoint Network Email
Advanced Threat Protection
MSS Global Operations
Other ATP Products Users
Data
Apps
Cloud Endpoints
Gateways
MSS Analytics Platform
Real Time
Correlation
Global
Threat
Intelligence
Advanced
Threat & Behavioral
Analysis
MANAGED
SECURITY
SERVICES
Proteger contra ataques
direcionados, ameaças
avançadas e campanhas.