Threatdown 端点检测和响应 (EDR) 由 Malwarebytes 提供支持,可为您的端点提供持续保护,抵御各种威胁;托管检测和响应通过提供高精度威胁响应,进一步加强了这种保护。通过减少关键威胁的停留时间并提供更快的平均解决时间 (MTTR),EDR 继续为企业提供节省成本、减少停机时间和提高威胁搜寻整体效率的措施。
本文适用于拥有 MDR 附加组件的端点检测和响应客户。
在您的帐户中激活服务后,TeamViewer 将通过弹出窗口进行确认。选择 设置 MDR 按钮以继续进行初始设置。
在下一个屏幕上设置主要联系人、备用联系人和备用联系人。选择 主要联系人 下拉菜单,然后选择公司资料中所需的成员。如果未自动输入,请插入此联系人的主要电话号码。
在 补救授权 部分中,选择您是更喜欢 ThreatDown 托管 还是 引导式补救 来应对遇到的任何威胁:
在最后一部分 隔离授权 中,选择在需要安全响应时是否授权代表您隔离终端节点。这将同时授权工作站和服务器。
完成后,单击 优惠 在屏幕的右上角。弹出通知指示已成功激活 托管检测和响应 。
托管检测和响应(MDR) 门户管理服务的所有方面。可以通过选择 Nebula 按钮来访问它,该按钮可以在设置或检测选项卡中找到。进入 Nebula 后,选择右上角的 MDR Portal。
由 ThreatDown 提供支持的 MTH 门户是您的许可证的控制仪表板。门户内是托管服务选项卡,您可以在其中看到 MDR 提供的所有报告。
托管服务分为两个主要部分:
概述选项卡通过一组交互式小部件提供托管服务案例的集中式高级摘要。这些小部件旨在提供案例活动的一目了然的见解,帮助用户有效地监控和评估其 Nebula 环境的安全状况。通过呈现简明而相关的数据,概述选项卡可作为了解趋势、确定关注领域和确定行动优先级的起点。
此选项卡对于快速了解您环境中的恶意活动特别有用。它支持特定时间的过滤,允许用户将显示信息的范围缩小到特定时期。此功能使在选定的时间范围内分析趋势或调查事件变得更加容易。
“概览”选项卡上有以下小部件,每个小部件都有特定的用途:
托管服务页面上的案例选项卡显示未结案例及其详细信息的列表。以下信息可在案例选项卡上找到:
要查看任何 MTH 案例的详情,请单击 ID 列中的 ID 号。这将在新抽屉中生成以下信息:
案例详情滑出中的“通信和历史记录”选项卡提供了全面的案例活动记录。这包括分析师之间的通信、详细的补救说明以及调查期间采取的行动日志。 要优化显示的信息,您可以使用图标过滤特定事件,例如评论、状态更新或其他关键更改,确保快速访问最相关的详细信息。
单个案例可能包含多个警报,通常代表在同一端点上发生的多个相互关联的恶意活动。这些警报被分组在一起以简化分析并增强上下文。警报和工件选项卡允许您查看案例的相关警报和相关项目。为了进行更深入的调查,每个警报旁边的转到检测按钮可直接访问与该案例相关的特定检测或可疑活动。
如果您对 MDR 案件有疑问:
托管检测和响应需要 EDR 的特定设置才能成功运行。这些设置位于端点保护策略设置中。要访问它,请导航到管理设置并选择设备管理下的策略。如果您已经创建了策略,则可以编辑此策略;否则,您可以通过从策略下拉菜单中选择端点保护来创建新策略。请确保以下设置在适当的操作系统下处于活动状态:
5. 可疑活动监控
6. 隔离时锁定端点
扫描端点以查找潜在威胁是安全设置不可或缺的一个方面。我们建议至少进行两种扫描:
从 常规 的 预约安排 下拉列表中选择 每日。在 Windows 下,从 方法下拉列表中选择 威胁扫描。
从 预约安排 下拉列表中选择 每周 。将 方法 设置为 自定义扫描,然后打开 扫描 rootkit。
设置所有必要的通知对于确保您和您的团队对潜在威胁保持警惕非常重要。以下信息与专门用于 托管检测和响应 的通知有关。
创建新通知时,选择 托管服务活动。
建议添加一些有关何时发送通知的条件。这可确保您的管理员不会因不需要他们注意的消息而负担过重。
选择下面的每个 字段 选项以查看其可用值:
等于
等于
等于
在下一部分中,选择通知的发送方式。除了电子邮件之外,您还可以选择通过 Slack/Microsoft Teams、Webhook 或 ThreatDown Admin 应用程序接收通知。
在最后一步中,可以激活聚合,从而减少收到的通知并允许更多关注。这会根据您选择的间隔和分组选项,以及之前选择的活动类型、条件和投放方法,将多个警报合并到单个通知中。
选择 完成 在右下角保存新通知。