檢閱您的安全事件
首先,您看一下事件管理儀表板,它提供所有進行中安全事件的集中式檢視,以及其狀態、嚴重性和其他詳細資料。
您看到需要注意的事件,所以您按一下來加以開啟。
深入挖掘事件詳細資料
從 [Incident Overview(事件概觀)] 頁面,您可以收集其他事實:
![tick]()
嚴重性的事件分數![tick]()
遭入侵的資產![tick]()
提出警示的資料來源![tick]()
已執行自動回應
嚴重性的事件分數深入挖掘事件詳細資料
為了產生此事件,Cortex XDR 透過拼接來自多個來源的事件,建立主機、身分、網路流量等之間的連結,以擴大事件脈絡,進而建立豐富的活動記錄。
數百個機器學習模型在拼接的資料中尋找異常活動,產生新的偵測警示。
然後,Cortex XDR 將相關警示分組為單一事件,全面描繪出攻擊情況,並將需要手動檢閱的警示數量減少 98%。
識別遭入侵的資產
在此事件中,您注意到一個 Windows PC 和一個雲端主機中面向網際網路的伺服器可能已遭入侵。
檢查 MITRE ATT&CK® 架構
您還可以看到攻擊對應到 MITRE ATT&CK® 架構,提供標準化的分類法來分類和描述網路威脅與攻擊技術。透過自動將攻擊對應到此架構,Cortex XDR 為您提供所有相關活動的完整視圖。
利用警示與見解進行調查
您的關鍵警示確認 Windows 電腦已遭入侵。
在清單下方,您會看到雲端託管伺服器有中度嚴重性警示。在警示中,您發現有人嘗試進行暴力攻擊,但是失敗了。
現在,是時候隔離受到攻擊的 Windows 電腦,以阻止攻擊繼續進展。
阻止攻擊
隔離端點有助於控制惡意軟體和其他威脅的擴散。
將受入侵的端點從網路中斷連線,就能防止威脅擴散到其他裝置或系統,進而限制事件的範圍和影響。
搜尋並阻絕惡意軟體
現在是搜尋並阻絕勒索軟體檔案的時候了。
使用 Live Terminal,您可以遠端在端點上執行命令和指令碼,以便快速進行補救,而不需要實體存取受影響的裝置。
拉開帷幕
那麼,為什麼端點代理程式沒有阻止這次攻擊?
為了這個示範的目的,我們將端點政策設定為僅報告,允許攻擊繼續進行,同時通知我們其進度。這也提醒我們在設定政策時,務必遵循最佳實務。
現在,讓我們設定政策為封鎖,繼續前進!
找出安全漏洞並確保符合監管標準
在妥善處理這次勒索軟體事件之後,您會記得之前有一項雲端資產曾經遭遇過暴力破解。考慮到這一點,您可以採取一些前瞻性的安全措施,以加強您的雲端安全性。
Cortex XDR 的雲端合規性功能可針對雲端資源執行網際網路安全中心 (CIS) 基準合規性檢查。這有助於找出潛在的安全漏洞、降低風險,以及避免監管罰款或處罰。
您注意到合規率只有 74%,您決定將這一點列入您的最後報告中。
在單一儀表板中評估弱點
由於您在調查期間探索一個受入侵的 PC,因此您使用弱點評估來檢查可能尚未修補及被利用的潛在弱點。
您會看到您所標記受入侵的 PC 存在多個弱點,這些弱點導致了勒索軟體攻擊,進而為您提供開始修補所需的資訊。
簡潔且輕鬆的報告
現在是以簡潔的格式為您經理產生報告的時候了。您可以從許多預先建立的範本中選取,或建立自訂報告。
您可以產生有關調查的報告,包括事件管理、雲端合規性和弱點評估。
按一下某一列以產生報告
上網吧!
恭喜。您成功調查並解決勒索軟體攻擊。調查發已揭露:
![tick]()
嘗試對雲端資產進行暴力破解攻擊![tick]()
存在未修補弱點的 PC![tick]()
安全政策設定為僅報告,允許攻擊繼續進行。
幸運的是,您迅速地隔離受入侵的端點,並在無需實體存取電腦的情況下消除勒索軟體檔案。
已產生詳述整個事件的報告。再過 1 小時,你就可以到海邊了。
目前正是好時機
Cortex XDR 可讓安全分析師著重於他們最擅長的工作。安全作業可利用 Cortex XDR 來:
![tick]()
預防端點和雲端工作負載上的勒索軟體等威脅![tick]()
加速 MTTD(平均偵測時間)至機器速度![tick]()
快速地回應攻擊的根本原因
使用 Cortex XDR 完成更多的安全工作。
警示減少 98
調查速度加快 8 倍
在 MITRE Engenuity 2023 中不需變更設定即可 100% 預防和偵測