教程篇(5.0) 07. 威胁搜索和取证 ❀ FortiEDR ❀ Fortinet 网络安全专家 NSE 5

飞塔老梅子

已于 2022-06-20 15:11:40 修改

阅读量478

点赞数 1

分类专栏： # NES5 FortiEDR 5.0 教程文章标签： FortiEDR 5.0 威胁搜索取证终端安全

于 2022-06-20 15:11:01 首次发布

NES5 FortiEDR 5.0 教程专栏收录该内容

10 篇文章 9 订阅

订阅专栏

在本课中，你将学习如何在FortiEDR控制台上使用威胁搜索和取证功能。

在这节课中，你将学习上图显示的主题。

通过展示威胁搜索的能力，你将能够查询威胁搜索数据并创建排除列表。

威胁搜索模块记录组织中每个设备的详细信息。管理控制台用户可以在整个环境中搜索IOC和恶意软件。搜索可以基于哈希、文件、注册表键和值、网络、进程和事件日志。目前仅支持Windows终端的威胁搜索。

　　威胁搜索允许管理控制台用户在休眠威胁执行之前找到并纠正它们。从本质上讲，这是一次搜索和摧毁行动。寻找威胁还可以帮助你解开最初受到攻击的对象、其他对象等背后的故事。

　　使用威胁搜索功能要许可证。威胁搜索存储库需要至少24GB的内存和1.5 TB的硬盘空间来服务4000台收集器，并保留一个月的数据。在安装威胁搜索存储库服务器之前，必须安装中央管理器。关于服务器要求的更多信息，请参见《FortiEDR安装和管理指南》。

威胁搜索使用活动事件，活动事件由一个源(通常是一个流程)、一个操作(活动事件类型)和一个目标(源对目标执行指定的操作)组成。每次在端点上执行一个操作时，收集器都会根据威胁查找配置文件将几个属性通过核心发送到威胁查找存储库。FortiEDR可以从端点收集五类不同的活动事件：注册表项操作、文件操作、进程操作、网络操作和事件日志操作。

要控制从终端收集的活动数据的类型，可以在“安全设置”的“威胁搜索设置”页签中配置威胁搜索。

　　三个默认配置文件是库存配置文件、标准收集配置文件和综合配置文件。可以通过克隆现有的配置文件来创建新的配置文件。创建一个新的配置文件的好处是，你可以通过选择所需的类别和类型来定制活动事件。综合配置文件从端点收集几乎所有数据，是资源最密集的配置文件。

　　将新的收集器组分配给默认库存配置文件。根据组织的需求，可以将收集器组分配给一个默认配置文件或一个新的配置文件。

威胁搜索数据页仅对运行FortiEDR 5.0及以上版本的收集器有效。在“取证”的“威胁搜索”页签中，可以查看威胁搜索的数据。你可以通过活动事件类别、特定设备和时间来过滤数据。Lucene语法支持自由文本查询，并有一个自动完成助手下拉列表。关于Lucene语法的更多细节，请参见FortiEDR安装和管理指南。

单击该过滤器右侧的“清空所有”，可以清空该过滤器的内容。如上图所示，单击“保存查询”保存查询。输入“查询名称”，在“类别”、“设备”、“时间”中选择过滤条件，单击“保存”。

　　你可以安排查询来自动化威胁检测。如果查询符合定义的时间计划中的威胁，则事件将出现在EVENT VIEWER中，并生成电子邮件和syslog通知。

　　要计划查询，请在“保存查询”窗口中启用“计划查询”。在下拉列表中选择安全事件的分类，在“重复”中配置频率每个/部分。

上图展示了触发预定查询事件的事件流。

　　1. 在SECURITY SETTINGS选项卡上，选择Threat Hunting Settings，然后将收集器组分配给Comprehensive Profile，这样几乎所有的数据都可以从端点收集。

　　2. 在FORENSICS选项卡上，选择Threat Hunting，然后创建一个查询，每15分钟运行一次，并检查目标进程文件名net.exe。

　　3.在FortiEDR收集器监视的端点上运行net用户命令，如上图所示。net user命令不会触发任何FortiEDR规则，因为该活动不是可疑的。

　　4. 威胁查找存储库将包含网络用户执行命令的数据。

　　5. 计划的查询每15分钟运行一次，当查询与威胁(net.exe)匹配时，事件将出现在event VIEWER中。

从端点实时收集威胁搜索数据，会产生大量活动事件。Facets以聚合形式在表中显示此数据。每个facet窗格显示该facet的前5项的摘要。单击示例中所示的箭头，切换顺序，显示特定facet的底部五项。要查看其他方面，请单击More链接。你可以使用方面来过滤数据。单击facet上项目旁边的绿色加号以将该项目包含在查询中，单击红色减号按钮以排除该项目。

六个活动事件表由每个活动事件类别的一个表和All activity表组成，All activity表显示所有活动事件类别。单击“选择列”，可对显示的数据结果增加或移除列。你可以使用与facet相同的方法向活动事件表添加过滤器。

单击特定活动事件的活动事件表中任何一行的任何位置，将显示包含该活动事件的全部详细信息的窗格。详细信息窗格包括三个选项卡：摘要选项卡、进程选项卡和目标选项卡。

　　Summary选项卡显示活动事件的摘要。顶部部分显示操作，这是活动事件类型，如果活动与MITRE技术相关联，则显示一个MITRE图标。你可以将鼠标悬停在MITRE图标上以查看MITRE的详细信息。下一部分将显示端点的详细信息，例如设备名称、连接状态、正常运行时间和IP地址。源部分显示关于源进程的详细信息。最后一部分显示关于目标进程的详细信息。

　　进程选项卡显示关于源进程的其他详细信息，target选项卡显示关于目标进程的其他详细信息。只有当活动事件的目标类型为Process或File时，才会显示target选项卡。检测到恶意软件后，单击“检索”按钮下载文件副本，或者使用“目标”选项卡中的“修复”按钮删除文件。

遗留的威胁搜索页面仅在从较早版本升级到FortiEDR 5.0版本的环境中可用。你可以在“取证”的“威胁搜索(遗留)”页签中查看遗留页面。你可以搜索FortiEDR在升级到5.0版本之前收集的所有散列和文件。在遗留页面上还可以使用运行5.0以前版本的收集器的威胁查找数据。

你可以在安全设置中的排除管理器选项卡上访问排除管理器。你可以使用排除管理器排除威胁搜索数据收集的活动事件。单击Add list并输入排除列表的名称。创建列表后，单击“添加排除”以排除活动事件。在“威胁搜索排除”窗格中，你可以为源进程、活动事件类型和目标属性定义排除。定义属性之后，单击Add保存排除列表。最后一步是将收集器组分配给排除列表。可以将一个收集器组分配给多个排除列表。

答案：A

现在你知道威胁搜索了吧。接下来，你将学习有关取证的知识。

通过证明你在取证方面的能力，你将能够使用取证来调查安全事件。

取证通过揭示进程流、内存栈和操作系统参数，提供对安全事件的深入分析。取证插件是保护和响应许可证或发现、保护和响应许可证的一部分。

　　你可以从EVENT VIEWER选项卡中选择要在Forensics选项卡上查看的事件，在那里你可以深入分析它们。选择一个或多个事件的复选框，然后单击Forensics按钮。事件被加载到Forensics标签页上。确保单击了Forensics按钮，而不是Forensics选项卡。如果单击Forensics选项卡，它将在不加载所选事件的情况下打开。

　　要添加事件，请返回EVENT VIEWER选项卡并重复相同的步骤。你将在取证中已经加载的事件旁边看到一个指纹。再次单击Forensics按钮，将新的选择添加到已经加载的事件中。

单个事件可以由一个或多个原始事件组成。原始事件数据显示在FORENSICS选项卡的上部。你可以使用窗格右上角的箭头浏览每个原始数据项。如果你希望关注特定的原始事件，可以单击Selected原始数据项，然后为你想要看到的每个原始事件选择复选框。单击“所有原始数据项”，可恢复隐藏的原始事件。

当你第一次将事件加载到FORENSICS选项卡时，你将看到Flow Analyzer视图。所选原始事件的流程流程图类似于event VIEWER选项卡中显示的流程流程图。每个节点表示所选原始事件中涉及的流程、流或服务。白色矩形表示所执行的操作。例如，在上图显示的事件中，你可以看到进程explorer.exe创建了进程MaliciousFile.exe。这个例子中显示的一系列事件通常意味着用户启动了进程maliciousfile .exe。当您继续检查示例时，你可以看到MaliciousFile.exe试图连接到显示的IP地址，但FortiEDR阻止了连接，因为它违反了动态代码规则。你可以单击这些元素中的任何一个，在Stacks视图中查看详细信息。

下面是Stacks视图的一个例子。你可以单击堆栈工具栏中的每个堆栈，以查看为该堆栈收集的所有数据。红点表示违规发生的位置，因此你可以快速找到问题的根源。例如，在“堆栈”工具栏中，你可以看到违规在“连接”堆栈中。所选堆栈名称以红色显示——在本例中为Connection堆栈。你将在堆栈工具栏下面看到所选堆栈收集的所有详细信息。

窗格中显示了所选堆栈的主进程的详细信息（文件名、发布者等等）以及主进程散列。单击“进程”散列旁边的三个垂直点，可以在“威胁狩猎”选项卡中搜索散列，或者使用VirusTotal。VirusTotal是一个有用的调查工具。它向您展示了其他著名的安全程序如何将一个文件（恶意的或安全的）以及该文件所代表的威胁的名称分类。

　　你还可以查看堆栈中每个子进程的列表及其详细信息。你看到的子进程的数量取决于堆栈。列表中第一个可执行文件旁边的红点表示这里发生了规则冲突。单击子进程可查看更多信息。每个子进程都有自己的散列，你可以在VirusTotal或Threat Hunting中查找。

上图展示了比较视图的一个例子。你可以并排查看两个事件，它们都可以在Flow Analyzer视图或Stacks视图中。

在设备上检测到恶意软件后，可以使用下列方法之一来修复设备：终止进程，从设备上删除受影响的文件，或删除或修改注册表项。在Stacks视图中，单击感兴趣的进程，并选择相关文件的复选框。单击“修复”，选择修复设备的动作。

使用Stacks视图检索特定收集器的堆栈内存。堆栈内存帮助你分析来自设备的内存转储和文件的副本(如果适用的话)。单击感兴趣的流程，然后选择相关文件和流程的复选框。单击“检索”，选择修复设备的操作。在MEMORY/FILE RETRIEVAL窗口中，指定是从MEMORY、Disk检索，还是两者都检索，以及是从特定的内存区域还是整个进程内存检索。检索到的文件或内存转储是压缩、加密和密码保护的。解压缩检索到的文件的密码是enCrypted。