ในหน้า Detection and Response > Security Events จะมี Tab เกี่ยวกับ Advanced Threat อยู่
ซึ่งเกิดจากการที่ตัว Agent สามารถตรวจพบพฤติกรรม หรือรูปแบบ URL ที่เครื่องมีการใช้งานหรือสั่งการ
โดยส่วนมากจะไว้ใช้ทำ Threat Hunting หรือ เป็น Evidence เพื่อประกอบการทำ Root Cause Analysis
การที่มี Alert ขึ้นมาในหน้านี้อาจจะไม่ได้หมายถึงเครื่องนั้นโดนโจมตีแล้วเสมอไป เนื่องจากprocess การทำงานบางอย่างของผู้ใช้งานอาจจะมีรูปแบบการเรียกที่สอดคล้องกับการโจมตี จึงต้องดูว่าเครื่องมี pattern ที่มีความเสี่ยงหรือไม่ เหมาะให้ Security Expert ไว้ตรวจสอบ Detail ต่างๆเพื่อประเมินความเสี่ยง
โดยสามารถกดเข้าไปเพื่อดู In-Depth Analysis ได้
- ตรวจสอบรายละเอียด Command ที่ไฟล์ exe เรียกใช้
- สามารถกด Mark Event Status ว่าแก้ไขแล้วหรือยัง หรือเลือก Ignore Event ได้กรณีเป็น Process ปกติ
- การแก้ไข : การแก้ไขจะต้องเป็นทาง IT Admin ไปตรวจสอบรูปแบบการทำงานของprocess หรือ script ว่าปกติหรือไม่ เว้นแต่ไฟล์ดังกล่าวก็ถูก Detect จาก Endpoint Secure ว่าเป็น Threat ในรูปแบบของ File จึงจะถูกmarkว่าแก้ไขได้โดยระบบ
- System Process จะไม่สามารถแก้ไขได้ ส่วนมากจะเป็น process อื่นมาเรียกใช้งาน
ตัวอย่างการใช้งาน
เครื่องดังกล่าวถูก Ransomware พยายามโจมตี สามารถใช้ Endpoint Secure ในการหาสาเหตุหรือ Chain ในการโจมตีเพื่อ download file ที่เป็น malicious ต่างๆลงมาเพื่อโจมตีในลำดับต่อไป
ตรวจสอบความเชื่อมโยงโดยใช้ In-Depth Analysis
ข้อคิดเห็น
0 ข้อคิดเห็น
โปรด ลงชื่อเข้าใช้ เพื่อแสดงข้อคิดเห็น