Transcription
Endpoint Indicatie van Compromiscue (IOC)scans met AMP voor endpoints of nGebruikte enStart een scan van een IOC-bestandEen IOC-signaalbestand makenEen OCR-bestand uploadenEen scan openenInleidingDit document beschrijft hoe u een bestand voor de ondertekening van een compromis (IOC) kuntmaken via de Mandiant IOC-editor, hoe u het kunt uploaden naar het Cisco FireAMP-dashboarden hoe u een IOC-scan van een eindpunt kunt openen.VoorwaardenVereistenCisco raadt u aan ten minste één gigabyte vrije ruimte in te stellen voordat u probeert deeindpunten IOC-scans te gebruiken.Gebruikte componentenDe informatie in dit document is gebaseerd op de scanner voor endpoints OC, die beschikbaar isin de versies 4.0.2 en hoger van Cisco FirePOWER Windows Connector.De informatie in dit document is gebaseerd op de apparaten in een specifiekelaboratoriumomgeving. Alle apparaten die in dit document worden beschreven, hadden eenopgeschoonde (standaard)configuratie. Als uw netwerk live is, moet u de potentiële impact van
elke opdracht begrijpen.AchtergrondinformatieDe functie voor het instellen van een IOC-scanner is een krachtig instrument voor respons opincidenten, dat wordt gebruikt om post-compromisindicatoren op meerdere computers te scannen.Opmerking: Hoewel FireAMP IOCs met de Mandiant-taal ondersteunt, wordt de MandiantIOC Editor-software zelf niet ontwikkeld of ondersteund door Cisco. Cisco-ondersteuninggeeft geen problemen met de door de gebruiker gemaakte of door derden gemaakte OC’s.IOS-signaalbestandenHet IOC-bestand voor handtekeningen is een verlengbaar XML-schema voor de beschrijving vantechnische kenmerken die een bekende bedreiging, een aanslagmethodologie of andercompromisbewijs identificeren.U kunt endpoints IOC’s door de console importeren uit op OpenIOC gebaseerde bestanden diezijn geschreven om bestandseigenschappen zoals naam, grootte en hash, evenals andereeigenschappen en systeemeigenschappen zoals procesinformatie, actieve services en MicrosoftWindows Registeritems te activeren. De syntaxis van de IOC kan worden gebruikt door derespons van het incident om specifieke artefacten te vinden of om de logica te gebruiken omcomplexe, gecorreleerde detecties te creëren voor families van malware.Start een scan van een IOC-bestandEr zijn drie stappen die u moet uitvoeren om een scan in een IOC-bestand met handtekeningen tekunnen uitvoeren:1. Maak een OCR-bestand.2. Upload het IOC-bestand voor handtekeningen.3. Start een scan.Deze stappen worden uitgebreid in de volgende secties.Een IOC-signaalbestand makenOpmerking: In dit voorbeeld, wordt de Mandiant IOC redacteur gebruikt om een IOCsignatebestand te bouwen voor een tekstbestand genaamd test.txt.Voltooi deze stappen om een IOC-bestand voor handtekeningen te maken:1. Open de IOCe en navigeer naar Bestand Nieuw Indicator. Dit biedt een lege werkruimtezodat u kunt beginnen met het bouwen van een IOC.
Opmerking: Om een IOC voor iets specifieks te maken, gebruik binaire logica met deeigenschappen. De eerste exploitant is een OR, de eenvoudigste basis om van te werken.Hierdoor kan de initiële functie van de IOC werken, dus je hoeft deze niet te wijzigen. Het isvereist dat een IOC-bestand voor handtekening ten minste twee eigenschappen ofvoorwaarden heeft om het in een scan succesvol te kunnen gebruiken.2. Klik op het vervolgkeuzemenu Opties om operatoren toe te voegen. De eerste eigenschapdie u moet toevoegen is File Extension bevat. Vind de eigenschap in het menu Items en klikop deze.3. Nadat u een eigenschap hebt toegevoegd, klikt u op het kleine pictogram aan de rechterkantvan het scherm om het Configuratiescherm te openen. Gebruik in dit venster het veldContent om een bestandsextensie overeen te komen. Voeg bijvoorbeeld tekst toe om hettekstbestand test.txt aan te passen:4. U moet nu een logische operator toevoegen. In dit voorbeeld komt u overeen met hettesttekstbestand. Om dit aan te passen, gebruik een EN exploitant en voeg het volgendebezit toe. Zoek de bestandsnaam en selecteer deze in het menu Items. Voeg in het vensterEigenschappen de naam toe van het bestand dat u wilt vinden. Voeg bijvoorbeeld test toe inhet veld Inhoud:
5. Aangezien voor deze eenvoudige IOC geen extra eigenschappen nodig zijn, kunt u hetbestand nu opslaan. Klik op Bestand Opslaan en een bestand met een .ioc-extensie wordtop het systeem opgeslagen:Een OCR-bestand uploadenOm een scan te kunnen uitvoeren, moet u een IOC-bestand naar het FireAMP-dashboarduploaden. U kunt een IOC-bestand, een XML-bestand of een zip-archief gebruiken dat meerdereIOC-bestanden bevat. Het dashboard wordt gedecomprimeerd en geparkeerd, terwijl de IOChandtekeningen worden gebruikt. U wordt op de hoogte gesteld als een onjuiste syntax of eenniet-ondersteunde eigenschap wordt gebruikt.Tip: U kunt bestanden van maximaal vijf megabytes in grootte uploaden.
Voltooi deze stappen om het OCR-bestand met handtekeningen naar het FireAMP-dashboard teuploaden:1. Meld u aan bij de FireAMP Cloud-console en navigeer naar Outdoorkleding Control Geïnstalleerd endpoint IOC.2. Klik op Upload en het venster Upload Endpoint IOCs verschijnt:Nadat een OCR-bestand met handtekeningen is geüpload, verschijnt de handtekening in delijst:3. Klik op View om de eigenlijke XML gegevens van de handtekening te bekijken:
Een scan openenNadat u een bestand met handtekeningen hebt geüpload, voert u een volledige scan uit. Deeerste scan moet een volledige scan zijn, omdat het een catalogus met metagegevens voor degehele computer moet maken, die 1-2 uur kan duren. U kunt een flitsscan uitvoeren nadat hetsysteem is gecatalogiseerd via een volledige scan.Opmerking: De volledige scan is zeer CPU-intensief. Cisco raadt u aan geen volledige scanop een pc te maken terwijl het apparaat in gebruik is. Als u de functie regelmatig wiltgebruiken, kunt u een volledige scan per maand uitvoeren om de catalogus te herbouwen.Er zijn twee verschillende methoden die u kunt gebruiken om een IOC-scan te maken. De eerstemethode is om een directe scan van een gebeurtenis of van het dashboard uit te voeren. Dit wordtde volgende keer geactiveerd dat een PC een hartslag naar de Cloud stuurt.Opmerking: Als dit de eerste keer is dat u de volledige scan uitvoert, hoeft u de hercatalogusniet opnieuw te controleren voordat u de optie scant.
De tweede methode is om een geplande IOC-scan van het Outbreak Control-menu van hetdashboard te maken. Deze optie kan ideaal zijn wanneer u scans tijdens uren buiten de piek wiltuitvoeren. U moet de aanmeldingsgegevens van een account met toestemming op de gegevencomputer opgeven om geplande taken te maken en het inloggen als toestemming voor een Batchgroepsbeleid mogelijk te maken.Wanneer u een OC-scan van het eindpunt plant, verschijnt dit waarschuwingsbericht:
De volgende keer dat uw PC een hartslag verstuurt en als uw geloofsbrieven geldig zijn, zou ueen baan moeten zien die aan dit in de taakplanner van Windows lijkt:Wanneer de scan begint, verschijnt dit bericht:Opmerking: Als de GUI ingesteld is om verborgen te zijn, dan ziet u het berichtSysteemcatalogiseren niet.
Wanneer de scan is voltooid, kunt u de samenvatting van de endpointdetectie IOS van scanbekijken. Dit voorbeeld toont een match voor het bestand van de handtekening van test.txt IOC:
De functie voor het instellen van een IOC-scanner is een krachtig instrument voor respons op incidenten, dat wordt gebruikt om post-compromisindicatoren op meerdere computers te scannen. Opmerking: Hoewel FireAMP IOCs met de Mandiant-taal ondersteunt, wordt de Mandiant IOC Editor-software zelf niet ontwikkeld of ondersteund door Cisco.
