Threatdown 端点检测和响应 (EDR) 由 Malwarebytes 提供支持,可为您的端点提供持续保护,抵御各种威胁;托管检测和响应通过提供高精度威胁响应,进一步加强了这种保护。通过减少关键威胁的停留时间并提供更快的平均解决时间 (MTTR),EDR 继续为企业提供节省成本、减少停机时间和提高威胁搜寻整体效率的措施。
本文适用于拥有 MDR 附加组件的端点检测和响应客户。
托管检测和响应的功能
- 全年无休(24x7x365)安全监控:结合端点检测与响应(EDR)技术与专业人员经验,持续监控终端活动,识别可疑事件。
- 高级威胁检测:运用威胁情报、行为分析等先进工具与技术,识别并阻止新型复杂威胁。
- 威胁检测与分析:由受过专业训练的安全人员评估已发现威胁的严重性及潜在影响。
- 威胁狩猎:安全分析师主动在网络中搜寻潜藏的威胁。
- 灵活的修复选项:MDR(托管检测与响应)团队可在发现威胁时主动进行修复,或为 IT 团队提供可执行性强的修复指导。
第一步
在您的帐户中激活服务后,TeamViewer 将通过弹出窗口进行确认。选择 设置 MDR 按钮以继续进行初始设置。
在下一个屏幕上设置主要联系人、备用联系人和备用联系人。选择 主要联系人 下拉菜单,然后选择公司资料中所需的成员。如果未自动输入,请插入此联系人的主要电话号码。
在 补救授权 部分中,选择您是更喜欢 ThreatDown 托管 还是 引导式补救 来应对遇到的任何威胁:
- 如果选择了 ThreatDown 托管 ,则将自动修复威胁,而无需重新启动、重新映像或其他任务。
- 如果选择了 引导式修复,系统将指导您完成修复潜在威胁的步骤,包括需要执行其他潜在任务(如重启)。
在最后一部分 隔离授权 中,选择在需要安全响应时是否授权代表您隔离终端节点。这将同时授权工作站和服务器。
完成后,单击 优惠 在屏幕的右上角。弹出通知指示已成功激活 托管检测和响应 。
如何设置托管检测和响应以优化端点保护
托管检测和响应需要 EDR 的特定设置才能成功运行。这些设置位于端点保护策略设置中。要访问它,请导航到管理设置并选择设备管理下的策略。如果您已经创建了策略,则可以编辑此策略;否则,您可以通过从策略下拉菜单中选择端点保护来创建新策略。请确保以下设置在适当的操作系统下处于活动状态:
- Windows
- macOS
- 可疑活动监控:通过监控终端上的进程、注册表、文件系统和网络活动,侦测潜在的恶意行为。该功能利用机器学习模型和基于云的分析来识别可疑活动的发生。
- 服务器操作系统监控:需启用“可疑活动监控”功能后方可使用。
- 隔离时锁定终端:通过限制终端之间的通信或访问,临时阻止威胁传播。被隔离的终端仍可与控制台通信并运行 Nebula 相关进程。
- 勒索软件回滚:通过限制终端之间的通信或访问,临时阻止威胁传播。被隔离的终端仍可与控制台通信并运行 Nebula 相关进程。
5. 可疑活动监控:通过监控终端上的进程、注册表、文件系统和网络活动,侦测潜在的恶意行为。该功能利用机器学习模型和基于云的分析来识别可疑活动的发生。
6. 隔离时锁定终端:通过限制终端之间的通信或访问,临时阻止威胁传播。被隔离的终端仍可与控制台通信并运行 Nebula 相关进程。
如何访问 MDR 门户
托管检测和响应(MDR) 门户管理服务的所有方面。可以通过选择 Nebula 按钮来访问它,该按钮可以在设置或检测选项卡中找到。进入 Nebula 后,选择右上角的 MDR Portal。
探索 MDR 门户
由 ThreatDown 提供支持的 MTH 门户是您的许可证的控制仪表板。门户内是托管服务选项卡,您可以在其中看到 MDR 提供的所有报告。
托管服务分为两个主要部分:
概述
概述选项卡通过一组交互式小部件提供托管服务案例的集中式高级摘要。这些小部件旨在提供案例活动的一目了然的见解,帮助用户有效地监控和评估其 Nebula 环境的安全状况。通过呈现简明而相关的数据,概述选项卡可作为了解趋势、确定关注领域和确定行动优先级的起点。
此选项卡对于快速了解您环境中的恶意活动特别有用。它支持特定时间的过滤,允许用户将显示信息的范围缩小到特定时期。此功能使在选定的时间范围内分析趋势或调查事件变得更加容易。
“概览”选项卡上有以下小部件,每个小部件都有特定的用途:
- 按阶段分类的案例:此小部件通过根据事件响应生命周期中的当前阶段对案例进行分类,提供案例活动的总体概览。这有助于用户跟踪案例进度,例如它们是新开立的、正在调查的还是已解决的。
- 按优先级分类的案例:此小部件显示按优先级分组的未结案例数量。突出显示每个案例的紧急程度,使用户可以快速识别可能需要立即关注的高优先级案例,确保及时解决关键问题。
- 主要结案原因:此小部件识别分析师确定的结案最常见原因。总结这些趋势可以提供有关推动案例解决的反复因素的宝贵见解,帮助团队优化响应策略并改善未来结果。
案例
托管服务页面上的案例选项卡显示未结案例及其详细信息的列表。以下信息可在案例选项卡上找到:
- 警报:与案例相关的检测数量。
- 指定分析师:分配给案例的分析师。
- 案例名称:检测 (DE) 或可疑活动 (SA),后跟检测的端点名称和路径。
- 结案原因:分析师结案的原因。 结案时已结案。
- 创建时间:案件开庭时间。
- 端点:带有警报的设备名称。
- ID:案件的 ID 号。
- 优先级:案件的紧急程度。
- 阶段:案件的当前阶段。
- 状态:案件已开庭或结案。
- 更新时间:上次更新案件的时间。
如何查看案例详情
要查看任何 MTH 案例的详情,请单击 ID 列中的 ID 号。这将在新抽屉中生成以下信息:
- 通信和历史记录
案例详情滑出中的“通信和历史记录”选项卡提供了全面的案例活动记录。这包括分析师之间的通信、详细的补救说明以及调查期间采取的行动日志。 要优化显示的信息,您可以使用图标过滤特定事件,例如评论、状态更新或其他关键更改,确保快速访问最相关的详细信息。
- 警报和工件
单个案例可能包含多个警报,通常代表在同一端点上发生的多个相互关联的恶意活动。这些警报被分组在一起以简化分析并增强上下文。警报和工件选项卡允许您查看案例的相关警报和相关项目。为了进行更深入的调查,每个警报旁边的转到检测按钮可直接访问与该案例相关的特定检测或可疑活动。
如何提交有关案件的请求
如果您对 MDR 案件有疑问:
- 单击“提交工单”。
- 输入您有疑问的案件的案件编号。
- 选择优先级
- 输入描述
- 单击“提交”。
如何优化威胁扫描
扫描端点以查找潜在威胁是安全设置不可或缺的一个方面。我们建议至少进行两种扫描:
- 每日扫描
- 每周扫描
从 常规 的 预约安排 下拉列表中选择 每日。在 Windows 下,从 方法下拉列表中选择 威胁扫描。
从 预约安排 下拉列表中选择 每周 。将 方法 设置为 自定义扫描,然后打开 扫描 rootkit。
如何确保高效的通知
设置所有必要的通知对于确保您和您的团队对潜在威胁保持警惕非常重要。以下信息与专门用于 托管检测和响应 的通知有关。
创建新通知时,选择 托管服务活动。
建议添加一些有关何时发送通知的条件。这可确保您的管理员不会因不需要他们注意的消息而负担过重。
选择下面的每个 字段 选项以查看其可用值:
- 事件类型
- 优先权
- 需要采取的措施
等于
- 全部
- 已创建案例
- 案例更新
- 结案
等于
- 全部
- 紧急
- 高等
- 中等
- 低等
等于
- 真
- 假
在下一部分中,选择通知的发送方式。除了电子邮件之外,您还可以选择通过 Slack/Microsoft Teams、Webhook 或 ThreatDown Admin 应用程序接收通知。
在最后一步中,可以激活聚合,从而减少收到的通知并允许更多关注。这会根据您选择的间隔和分组选项,以及之前选择的活动类型、条件和投放方法,将多个警报合并到单个通知中。
选择 完成 在右下角保存新通知。