fbpx

Наши представительства: 

Заказать обратный звонок
btn

CrowdStrike Services выпускает Incident Response Tracker для специалистов DFIR (Digital Forensics and Incident Response)

Релиз

CrowdStrike Services представляет трекер, предназначенный для помощи сообществу специалистов по цифровой криминалистике и реагированию на инциденты (DFIR – Digital Forensics and Incident Response).


CrowdStrike Incident Response Tracker – это удобная электронная таблица, содержащая вкладки для документирования индикаторов компрометации, учетных записей, которые были затронуты, а также скомпрометированных систем и хронологии значимых событий.

• Группы реагирования на инциденты CrowdStrike использовали этот тип трекера в ходе тысячи расследований.

• Скачайте образец CrowdStrike Incident Response Tracker прямо сейчас.


Во время недавнего взаимодействия с пользователем решений CrowdStrike, в ходе проведения тестирования по методу TTX (Tabletop Exercise — метод обучения, основанный на моделировании инцидента) стало очевидно, что он не использует методологию отслеживания показателей и построения временной шкалы инцидентов. Команда CrowdStrike Services хотела предоставить заказчику больше информации о том, как можно и нужно отслеживать инциденты, но в открытом доступе ничего не было. Чтобы устранить этот пробел, компания выпустила электронную таблицу CrowdStrike Incident Response Tracker, которая состоит из нескольких вкладок для структурированной и многократной записи событий различных классов, связанных с инцидентами.


Команды цифровой криминалистики и реагирования на инциденты (DFIR) обычно занимаются проведением сложных технических расследований, включающих получение и просмотр образов системы, снимков памяти, журналов и других источников данных. Это приводит к появлению огромного количества улик, задач и технических заключений по многим направлениям расследования.


Хотя эффективное реагирование зависит от многих гармонично взаимодействующих факторов, точная регистрация и передача результатов расследования, пожалуй, наиболее важны. Один из способов сделать это - использовать структурированный трекер реагирования на инциденты во время каждого расследования, который можно применять в процессе консолидации и передачи соответствующей информации в повторяющемся виде.


Обзор CrowdStrike IR Tracker

Преимущество использования такого инструмента, как CrowdStrike IR Tracker, заключается в том, что он обеспечивает единое пространство для обобщения ключевой информации об инциденте, включая:

• Сводную хронологию инцидента, которая является основой для его описания;
• Индикаторы инцидента (например, IP-адреса, доменные имена, имена/хэши вредоносных программ, записи в реестре и т. д.);
• Данные о пораженных учетных записях и системах, представляющих интерес;
• Метаданные инцидента, такие как ключевые контакты, детали встреч, собранные доказательства, а также связанные с инцидентом запросы и задачи.


В частности, CrowdStrike IR Tracker состоит из следующих вкладок:

  • Investigation Notes: Раздел c данными о применении инструментов фиксации и отслеживания информации о инциденте: тикеты в поддержку, детали конференц-зала и телемоста и т. д.
  • Contact Info: Контактная информация внешних и внутренних сотрудников, ответственных за реагирование на инциденты.
  • Timeline: Хронология действий злоумышленника, связанных с событием.
  • Systems: Системы, доступ к которым был получен или скомпрометирован субъектом (субъектами) угрозы.
  • Accounts: Учетные записи, подвергшиеся воздействию или скомпрометированные субъектом (субъектами) угрозы.
  • Host Indicators: Имена файлов, пути к каталогам, криптографические хэши, записи реестра и т.д., представляющие интерес для расследования.
  • Network Indicators: Внешние IP-адреса, URL-адреса, имена доменов, строки User-Agent и т.д., представляющие интерес для расследования.
  • Request and Task Tracker: Область для отслеживания запросов и задач, связанных с инцидентом.
  • Evidence Tracker: Область для отслеживания доказательств, собранных в ходе расследования.
  • Forensic Keywords: Ключевые слова по конкретному инциденту для облегчения
  • Investigative Queries: Запросы для SIEM, корреляции журналов и следственных платформ для облегчения анализа инцидентов.


С обзором трех наиболее активно используемых и наилучших, по мнению команды CrowdStrike, вкладок IR Tracker вы можете ознакомиться здесь.


Благодаря сводной и упорядоченной информации команда CrowdStrike может сосредоточиться на оказании помощи организации в выявлении воздействия угроз на бизнес-активы и, совместно с юристом, установить любые нормативные требования к отчетности. CrowdStrike IR Tracker также помогает определить первопричину атак, чтобы ваша компания могла устранить уязвимости, которые привели к инциденту.


Чтобы упростить понимание инцидентов, CrowdStrike часто составляет диаграммы атак или графические временные шкалы во вкладке "Timeline". Компания создает их для краткого разъяснения инцидентов для клиентов, которые столкнулись с обширными утечками данных в сотнях систем или в течение нескольких лет.


Наконец, рекомендуется использовать онлайн-технологии совместной работы с электронными таблицами, например, Office 365 или Google Sheets. Эти инструменты обеспечивают эффективное взаимодействие между различными пользователями для одновременного обновления онлайн-документа, что сводит к минимуму риск возникновения проблем с версией. Данные также обновляются практически в режиме реального времени, что помогает командам продуктивно взаимодействовать. А некоторые из повторяющихся задач по копированию и вставке можно автоматизировать с помощью сценариев, предоставляемых технологией совместной работы.


Сам по себе CrowdStrike IR Tracker — не панацея от всех «болезней» процесса IR, а скорее инструмент, который при правильном использовании может значительно повысить эффективность сотрудничества между отдельными лицами и командами. Как и все инструменты, он должен использоваться правильно, и одним из ключевых постулатов команды CrowdStrike IR является "гигиена трекера". Мы знаем, что если трекер CrowdStrike IR не актуализируется то результаты будут низкими. Трекер способен принести реальную пользу, но она может быть получена только благодаря усилиям, прилагаемым ВСЕМИ членами команды, РЕГУЛЯРНО. Поддержание системы отслеживания инцидентов требует работы и дисциплины, но мы уверены, что это стоит затраченных сил.


CrowdStrike делится шаблоном CrowdStrike Incident Response Tracker Template, чтобы дать сообществу DFIR отправную точку для сбора и записи артефактов инцидента в консолидированной и организованной форме. Мы надеемся, что этот ресурс станет полезной основой для развития вашей собственной организации или в тех случаях, когда IR-трекер необходим в кратчайшие сроки.

Узнать про другие решения от CrowdStrike.


Напомним, что iIT Distribution является официальным дистрибьютором компании CrowdStrike, который обеспечивает дистрибуцию и продвижение решений на территории Украины, Казахстана, Узбекистана и Грузии, а также профессиональную поддержку в их проектировке и внедрении. Мы всегда обеспечиваем необходимый уровень информационной поддержки нашим партнерам и заказчикам по каждому продукту и готовы предоставить консультации по любым вопросам, связанными с повышением эффективности функционирования вашей IT-инфраструктуры и ее защиты.

Назад

Mobile Marketing
+
ru_RURussian