FCS的主要优点是提高了事件分类的准确性。为了阻止恶意软件造成伤害,你必须实时决定是否应该阻止或允许进程。这就是核心的作用。FCS随后会对事件进行深入分析(这是不可能实时进行的),并微调分类。最终,我们的目标是将所有事件归类为恶意事件或安全事件,这样就不需要花费大量时间进行人工分析。
事件然后聚合为警报。你可以按设备或流程聚合事件。例如,如果选择Process视图,所有涉及driverupdate.exe文件的事件都会聚合到一个警报中。
如果你按流程查看事件,你可能会注意到涉及同一流程的不同事件可能具有不同的分类。这样做的原因是,分类不仅基于过程本身,还基于它试图做什么。例如:notepad.exe,它是一种非常常见的文本编辑应用程序,几乎在所有Windows机器上都可以找到,众所周知,它是安全的。通常情况下,notepad.exe不会产生任何警报,但如果它在写入磁盘时违反了FortiEDR规则(可能是由于粗心的软件修订),它会产生警报。在检查事件之后,FCS可能会将该事件重新归类为安全事件。你希望notepad.exe写入磁盘,因此此行为不会引发任何危险信号。但是如果notepad.exe突然启动了一个服务,打开了一个端口,开始监听。这不是文本编辑器的行为方式,所以FCS可能会将此事件重新归类为恶意事件。在两种情况下,它都是相同的签名可执行文件,但在第二种情况下,它的行为很奇怪,可能被恶意进程劫持了。
FCS不会评估过去的事件,除非它们再次发生。在相同的环境中,递归事件必须与原始事件聚合。这意味着,如果事件发生在不同的时间,具有相似事件的两家公司可能会看到不同的分类。
看看上图右边的时间轴。公司A在1月12日和1月18日发生了两次涉及GoogleUpdate.exe的原始事件。B公司有三个raw事件,涉及相同的流程和相同的违规,最后一个发生在1月22日。在此期间,FCS获得了新的数据,并在1月21日和1月再次修改了分类22。A公司在FCS修订其分类后,并无新事件发生。如果各公司在本月末审查各自的事件,A公司将发现18日被分类为“恶意”的事件,而B公司将发现22日被分类为“可能安全”的事件。
FCS剧本可以根据要求通过Fortinet支持来启用。这些脚本使用Fortinet专有知识来识别安全事件并创建自动异常。
你可以克隆脚本来创建具有不同设置的版本。默认的脚本在模拟模式下出现。当脚本处于模拟模式时,你仍然会收到配置的通知,但不会采取其他操作。通过查看EVENT VIEWER中的分类详细信息面板,你可以看到FortiEDR在响应特定事件时会做些什么。在另一课中你会学到更多。如果剧本处于预防模式,那么FortiEDR将按照配置执行所有操作。
每个收集器组被分配给一个且只有一个脚本。默认情况下,所有收集器组都被分配给默认脚本。
隔离模式是一种状态。它不影响收集器组的分配,收集器可以处于隔离模式,但仍然保持在其通常的收集器组中。但是,处于隔离模式的收集器会自动分配给“通信控制”中的“隔离策略”,而不是它们组的策略。隔离策略是内置的,默认情况下,它阻止所有应用程序通信。你可以根据需要允许特定的应用程序,如帮助台或安全软件。最佳实践是只允许可能需要远程修复设备的应用程序。可以使用“隔离”下拉列表在“库存”选项卡上手动将收集器放入或退出隔离模式。处于隔离模式的采集器会有红色指示灯图标。
为什么要启用自动异常?这对终端用户和系统管理员都有好处。最终用户可以更有效率,因为安全的进程不会再次被阻塞。他们不需要打电话给技术支持来解决问题,这是自动允许的。对于管理员来说,工作更少——事件查看器不会充斥着需要调查和创建异常的安全事件。注意,如果启用了自动异常,系统所有者必须跟踪所有自动异常。Fortinet不对FCS造成的任何例外负责。
928
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
