Наші представництва: 

Замовити зворотній дзвінок
btn

CrowdStrike Services випускає Incident Response Tracker для спеціалістів DFIR (Digital Forensics and Incident Response)

Реліз

CrowdStrike Services представляє трекер, призначений для допомоги спільноті фахівців з цифрової криміналістики та реагування на інциденти (DFIR – Digital Forensics and Incident Response).


CrowdStrike Incident Response Tracker – це зручна електронна таблиця, що містить вкладки для документування індикаторів компрометації, облікових записів, які були порушені, а також скомпрометованих систем та хронології значущих подій.

• Групи реагування на інциденти CrowdStrike використовували цей тип трекера в ході тисяч розслідувань.

• Завантажте зразок CrowdStrike Incident Response Tracker просто зараз.


Під час нещодавньої взаємодії CrowdStrike зі своїм клієнтом, у ході проведення тестування за методом TTX (Tabletop Exercise — метод навчання, заснований на моделюванні інциденту) стало очевидним, що замовник не використовує методологію відстеження показників та побудови тимчасової шкали інцидентів. Команда CrowdStrike Services хотіла надати користувачу більше інформації про те, як можна та слід відстежувати інциденти, але у відкритому доступі нічого не було. Щоб усунути цю прогалину, компанія випустила електронну таблицю CrowdStrike Incident Response Tracker, яка складається з декількох вкладок для структурованого та багаторазового запису подій різних класів, пов'язаних з інцидентами.


Команди цифрової криміналістики та реагування на інциденти (DFIR) зазвичай займаються проведенням складних технічних розслідувань, що включають отримання та перегляд образів системи, знімків пам'яті, журналів та інших джерел даних. Це призводить до появи величезної кількості доказів, завдань та технічних висновків у багатьох напрямках розслідування.


Хоча ефективне реагування залежить від багатьох факторів, що гармонічно взаємодіють, точна реєстрація і передача результатів розслідування, мабуть, найбільш важливі. Один зі способів зробити це — використовувати структурований трекер реагування на інциденти під час кожного розслідування, який можна застосовувати у процесі консолідації та передачі відповідної інформації в повторюваному вигляді.


Огляд CrowdStrike IR Tracker

Перевага використання такого інструменту, як CrowdStrike IR Tracker, полягає в тому, що він забезпечує єдиний простір для узагальнення ключової інформації про інцидент, охоплюючи:

• Зведену хронологію інциденту, яка є основою його опису;
• Індикатори інциденту (наприклад, IP-адреси, доменні імена, імена/хеші шкідливих програм, записи в реєстрі тощо);
• Дані про уражені облікові записи та системи, що становлять інтерес;
• Метадані інциденту, такі як ключові контакти, деталі зустрічей, зібрані докази, а також пов'язані з інцидентом запити та завдання.


Зокрема, CrowdStrike IR Tracker складається з наступних вкладок:

  • Investigation Notes: Розділ із даними про застосування інструментів фіксації та відстеження інформації про інцидент: тикети в підтримку, деталі конференц-залу та телемосту тощо.
  • Contact Info: Контактна інформація зовнішніх та внутрішніх співробітників, відповідальних за реагування на інциденти.
  • Timeline: Хронологія дій зловмисника, пов'язаних з подією.
  • Systems: Системи, доступ до яких було отримано або скомпрометовано суб'єктом (суб'єктами) загрози.
  • Accounts: Облікові записи, що зазнали впливу або були скомпрометовані суб'єктом (суб'єктами) загрози.
  • Host Indicators: Імена файлів, шляхи до каталогів, криптографічні хеші, записи реєстру і т.д., що становлять інтерес для розслідування.
  • Network Indicators: Зовнішні IP-адреси, URL-адреси, імена доменів, рядки User-Agent і т.д., які становлять інтерес для розслідування.
  • Request and Task Tracker: Область для відстеження запитів та завдань, пов'язаних з інцидентом.
  • Evidence Tracker: Область для відстеження доказів, зібраних під час розслідування.
  • Forensic Keywords: Ключові слова щодо конкретного інциденту для полегшення криміналістичного аналізу.
  • Investigative Queries: Запити для SIEM, кореляції журналів та слідчих платформ для полегшення аналізу інцидентів.


З оглядом трьох найбільш активно використовуваних і найкращих, на думку команди CrowdStrike, вкладок IR Tracker ви можете ознайомитись тут.


Завдяки зведеній та впорядкованій інформації команда CrowdStrike може зосередитись на наданні допомоги організації у виявленні впливу загроз на бізнес-активи та спільно з юристом встановити будь-які нормативні вимоги до звітності. CrowdStrike IR Tracker також допомагає визначити першопричину атак, щоб ваша компанія могла усунути вразливості, які привели до інциденту.


Щоб спростити розуміння інцидентів, CrowdStrike часто складає діаграми атак або графічні часові шкали у вкладці "Timeline". Компанія створює їх для короткого роз'яснення інцидентів для клієнтів, які зіткнулися з великими витоками даних у сотнях систем або протягом кількох років.


Нарешті, рекомендується використовувати онлайн-технології спільної роботи з електронними таблицями, наприклад, Office 365 або Google Sheets. Ці інструменти забезпечують ефективну взаємодію між різними користувачами для одночасного оновлення онлайн-документа, що зводить до мінімуму ризик виникнення проблем з версією. Дані також оновлюються в режимі реального часу, що допомагає командам продуктивно взаємодіяти.


Сам по собі CrowdStrike IR Tracker — не панацея від усіх «хвороб» процесу IR, а скоріше інструмент, який при правильному використанні може значно підвищити ефективність співпраці між окремими особами та командами. Як і всі інструменти, він повинен використовуватися правильно, і одним із ключових постулатів команди CrowdStrike IR є "гігієна трекера". Ми знаємо, що якщо трекер CrowdStrike IR не актуалізується, то результати будуть низькими. Трекер здатний принести реальну користь, але вона може бути отримана лише завдяки зусиллям, що прикладаються ВСІМА членами команди, РЕГУЛЯРНО. Підтримка системи відстеження інцидентів вимагає роботи та дисципліни, але ми впевнені, що це варте витрачених сил.


CrowdStrike ділиться шаблоном CrowdStrike Incident Response Tracker, щоб дати спільноті DFIR відправну точку для збору та запису артефактів інциденту у консолідованій та організованій формі. Ми сподіваємося, що цей ресурс стане корисною основою для розвитку вашої власної організації або у випадках, коли IR-трекер необхідний у найкоротші терміни.

Дізнатися про інші рішення від CrowdStrike.


Нагадаємо, що iIT Distribution є офіційним дистриб'ютором компанії CrowdStrike, який забезпечує дистрибуцію та просування рішень на території України, Казахстану, Узбекистану та Грузії, а також професійну підтримку у їхньому проєктуванні та впровадженні. Ми завжди забезпечуємо необхідний рівень інформаційної підтримки нашим партнерам та замовникам по кожному продукту та готові надати консультації з будь-яких питань, пов'язаних з підвищенням ефективності функціонування вашої IT-інфраструктури та її захисту.

Назад

Mobile Marketing
+