CrowdScore——crowdstrike 通过对事件打分 选择出critical、high、medium、low的事件 critical里又对事件进行了归类,用户可以高优先级处理
CrowdScore 如何提高效率
2019 年 12 月 13 日
介绍
本文和视频将回顾 CrowdScore——一项从根本上改变客户与 Falcon 平台交互方式的功能。CrowdScore 利用 CrowdStrike 的云原生平台的强大功能来帮助公司应对常见挑战并更有效地调查和补救事件。
视频
youtube
挑战
这些是当今安全团队面临的一些主要挑战。
- 战略意识——随着组织继续处理单独的、脱节的警报,他们有可能陷入仅反应模式。他们缺乏大局观和态势感知,无法帮助做出更具战略性的安全和资源决策。
- 警报疲劳——许多公司检测次数过多,时间不够。分析师无法有效地发现和解决噪音中最关键的事件。
- 调查时间——调查可能需要大量时间和资源。减少调查时间对于在事件成为违规之前阻止事件至关重要。
在以下部分中,我们将了解 CrowdScore 如何帮助解决这些挑战。
CrowdScore 提供组织威胁级别
CrowdScore 提供当前威胁级别的即时指示,以帮助组织确定时间和资源的优先级。CrowdScore 为安全领导者提供了一个简单的指标,旨在实时了解组织的威胁级别。除了指标之外,还有一条历史趋势线以及过去 7 天的变化摘要。通过建立基线和监控趋势,团队可以更了解威胁级别状态。组织不仅可以使用此分数和趋势信息来报告状态,还可以就资源参与做出战略决策——尤其是在威胁级别很高的情况下。
优先事件地址警报疲劳
使用 CrowdScore,相关检测被编译成事件。此摘要视图为我们提供了影响组织的事件的活跃、实时列表。每个事件都被打分以说明关键程度并帮助确定工作的优先级。下面,第一个得分为 10 的事件实际上由 52 个单独的检测组成。
使用 MITRE 术语,事件驱动的工作流提供与事件相关的活动的摘要以及有关受影响的主机和事件时间线的信息。
如果我们仔细查看特定事件,还会显示事件的详细时间线视图,其中包含用户名和命令行详细信息等附加信息,以及编辑事件的选项。这使安全团队能够更新状态、将事件分配给分析师或添加标签以帮助根据类型和影响等因素对事件进行分组和跟踪。
事件工作台减少调查时间
事件工作台可自动完成收集数据以了解新兴威胁的范围所涉及的工作。从时间线中,我们可以打开事件的图形视图,包括回放功能。在屏幕顶部,我们可以浏览攻击的总持续时间,并随着时间的推移按顺序突出显示事件。
在左侧的窗格中,您可以选择将不同的覆盖添加到现有的流程树中。线程注入和用户等选项有助于准确说明攻击期间发生的情况。用户覆盖显示事件中每个点使用的用户帐户。
还有一些选项可以准确查看涉及网络操作、磁盘操作和 DNS 请求的事件。对于每个事件,您可以通过将鼠标悬停在图表上来获取更多详细信息。在这里,我们看到一个由于编码的恶意负载而被阻止的 powershell 命令。
我们还可以扩展事件以获取更多详细信息,例如命令行、哈希和操作,以及转向事件搜索。所有这些上下文和可视化有助于分析师快速了解攻击。
CrowdScore 也有助于响应。直接从这个视图中,分析人员可以通过使用网络遏制或通过实时响应连接来对有问题的主机采取行动。
结束
CrowdScore 提供优先事件以简化分类流程并帮助分析师首先关注最关键的威胁。Incident Workbench 提供可视化和上下文以加快调查和响应时间。借助 CrowdScore,安全团队可以立即了解当前的威胁级别并采取相应措施。CrowdScore 使安全团队能够快速有效地识别和响应单个威胁,同时为组织提供有关其整体威胁级别的信息。