nie daj się cyberzbójom! – zapisz się bezpłatne szkolenie o bezpieczeństwie dla wszystkich

Poradnik: Microsoft Defender for Endpoint – rozwiązywanie fałszywych trafień

21 marca 2022, 10:18 | W biegu | 0 komentarzy

Microsoft opublikował poradnik rozwiązywania problemu fałszywych trafień (ang. false positives/negatives) w produkcie Microsoft Defender for Endpoint, w którym przypomina, czym są alerty oraz jak administratorzy mogą je analizować i rozwiązywać. 

(Microsoft)

Ostatnio zauważono  przynajmniej dwa zdarzenia dotyczące fałszywie pozytywnych detekcji phishingu (10.03.2022) oraz ransomware (16.03.2022). Informacja o błędnej detekcji ransomware’a obiegła cały Internet, chociaż problem został rozwiązany jeszcze przed pierwszym artykułem. Całe zdarzenie trwało ok. 2 godzin.

Current Message for Customers [Updated at 3/16/2022 5:44:45 PM +00:00 UTC]:

Title: Admins may receive erroneous ransomware alerts in Microsoft Defender for Endpoint.

User Impact: Admins may have received erroneous ransomware alerts in Microsoft Defender for Endpoint.

More info: Admins may have seen that the erroneous alerts had a title of „Ransomware behavior detected in the file system” and the alerts were triggered on „OfficeSvcMgr.exe”.

Final status: Our investigation found that a recently deployed update within service components that detect ransomware alerts introduced a code issue that was causing alerts to be triggered when no issue was present. We deployed a code update to correct the problem and ensure that no new alerts will be sent, and we’ve re-processed a backlog of alerts to completely remediate impact.

Scope of impact: This issue may have potentially affected any of your admins attempting to view ransomware alerts in Microsoft Defender for Endpoint.

Start time: Wednesday, March 16, 2022, at 2:39 PM UTC

End time: Wednesday, March 16, 2022, at 4:50 PM UTC

Root cause: A recently deployed update within service components that detect ransomware alerts introduced a code issue that was causing alerts to be triggered when no issue was present.

Next steps:

– We’re reviewing the affected update to better understand how the code issue wasn’t caught during testing and validation, which will allow us to prevent similar impact in the future.

This is the final update for the event.

Komunikat Microsoftu, źródło: Reddit, podkreślenie sekurak

Poniżej prezentujemy tłumaczenie fragmentów poradnika Microsoftu dotyczącego obsługi fałszywych trafień oraz ogólnej publikacji dotyczącej alertów. Pomimo tego że poradnik dotyczy konkretnego produktu jednego dostawcy, porządkuje wiedzę w obszarze obsługi alertów generowanych nawet przez zaawansowane systemy detekcji.

Proces obsługi alertu powinien obejmować:

  • (1) przegląd i klasyfikację alertów, 
  • (2) przegląd planu naprawy, 
  • (3) przegląd lub definicję wyłączeń, 
  • (4) przesłanie pliku do analizy oraz 
  • (5) przegląd i dostosowanie ustawień.
(Microsoft)

Krok 1: Przejrzyj i sklasyfikuj alerty

Jeśli obserwujesz alert, który pojawił się z powodu detekcji czegoś złośliwego lub podejrzanego, chociaż faktycznie tak nie jest, możesz to pominąć. Możesz również pominąć alerty, które niekoniecznie są fałszywe, ale są nieistotne, jednak zalecana jest klasyfikacja alertów.

Określ, z jakiego rodzaju alertem masz do czynienia. Może to być:

  • TP (ang. true positive): wykrycie złośliwej aktywności,
  • B-TP (ang. benign true positive): wykrycie aktywności, która jest prawdziwa, ale nie jest złośliwa, takiej jak testy penetracyjne lub znana aktywność uprawnionej aplikacji, 
  • FP (ang. false positive): fałszywy alarm o rzekomej złośliwej aktywności (takiej, która nie miała miejsca). 

W zależności od określenia rodzaju alertu, podejmij następujące działanie:

  • TP: przypisz, a następnie przeanalizuj alert,
  • B-TP: sklasyfikuj alert jako TP, a następnie pomiń,
  • FP: oznacz alert jako nieistotny, utwórz odpowiednią regułę, prześlij próbkę do analizy (aby ustalić, z jakiego powodu wywołany został FP). 

Alerty mogą mieć również kategorię zmapowaną na kill-chain ataku, w tym:

  • rekonesans (ang. reconnaissance): atakujący pozyskuje informacje o organizacji (np. domenie, użytkownikach, komputerach, sieci, IP, usługach), które może wykorzystać w późniejszych fazach ataku,
  • pozyskane poświadczenia (ang. compromised credential): atakujący pozyskuje poświadczenia (np. administratora kontrolera domeny, przełamując zabezpieczenia metodą brute force lub kradnąc token uwierzytelniający), które może wykorzystać, aby uzyskać dostęp do infrastruktury,
  • przejście na kolejne urządzenia (ang. lateral movement): atakujący uzyskuje dostęp do kolejnych urządzeń (np. metodą pass-the-hash, kradnąc ticket kerberosowy albo wykorzystując niezałatane podatności w SMB lub MS Exchange), aby dostać się do interesujących go zasobów,
  • przejęcie kontrolera domeny (ang. domain dominance): atakujący przejmuje kontroler domeny (np. pozyskuje klucz master DPAPI i odszyfrowuje wszystkie sekrety organizacji, modyfikuje lub wykrada Active Directory, tworzy własny złośliwy kontroler domeny, którego nie widzą monitoringi bezpieczeństwa albo tworzy złośliwe polityki GPO wymuszające zmianę haseł wszystkich użytkowników lub ułatwiające rozprzestrzenienie się ransomware’a na wszystkich komputerach w danej domenie),
  • wykradanie danych (ang. exfiltration): atakujący wykrada dane (np. nadużywając protokół SMB).

Klasyfikacja alertów jako FP lub TP wspomaga proces doskonalenia mechanizmów odpowiedzialnych za detekcję podejrzanej aktywności, dzięki czemu w przyszłości pojawi się więcej trafnych alertów, a mniej błędnych.

Oznaczanie jako nieistotnych alertów dotyczących FP lub dotyczących błahych zdarzeń, pozwala zredukować szum informacyjny, dzięki czemu zespół ds. bezpieczeństwa może skoncentrować się na zadaniach o wyższym priorytecie.

Krok 2: Przegląd planu naprawy

Działania naprawcze, takie jak poddawanie pliku kwarantannie lub zatrzymanie procesu, podejmowane są w przypadku wykrycia zagrożenia. Wiele z tych działań inicjowanych jest przez produkty bezpieczeństwa w trakcie zautomatyzowanej analizy:

  • poddawanie pliku kwarantannie,
  • usunięcie wpisu w rejestrze,
  • zakończenie procesu,
  • zatrzymanie usługi,
  • wyłączenie sterownika,
  • usunięcie zaplanowanego zadania.

Pozostałe działania, takie jak rozpoczęcie skanowania w poszukiwaniu wirusów lub zbieranie śladów, wykonywane są manualnie lub z wykorzystaniem narzędzi informatyki śledczej w trakcie analizy dokonywanej bezpośrednio na badanym środowisku. Pamiętaj, że skutków niektórych działań nie można odwrócić (np. Live response w ramach Microsoft Defender for Endpoint).

Przejrzyj podjęte działania naprawcze. Jeśli jakiekolwiek działania zostały podjęte w wyniku wykrycia FP, można cofnąć większość z nich, w tym przywrócić plik z kwarantanny. 

Możesz to zrobić dla wielu plików i hostów jednocześnie

Krok 3: Przejrzyj lub zdefiniuj wyjątki

Wyjątek jest to byt taki jak plik lub URL, który można określić jako wyłączenie z działań naprawczych. Wyjątek może ciągle być wykrywany, ale żadne działanie naprawcze w stosunku do niego nie zostanie podjęte. Oznacza to, że wykryty plik lub proces nie będzie zatrzymany, poddany kwarantannie, usunięty, ani w inny sposób zmieniony przez produkt odpowiedzialny za ochronę przed zagrożeniami.

Wykorzystuj managery i automatyzację, aby tworzyć odpowiednie polityki (reguły) bezpieczeństwa. Regularnie przeglądaj reguły wyjątków.

Nowe reguły powinny dotyczyć wyłącznie FP (konkretnych wskaźników, np. plików i procesów). Wskaźniki pomagają tworzyć reguły detekcji, prewencji oraz wyjątków dla konkretnych bytów. Możesz na przykład określić konkretne pliki, które będą pomijane w trakcie skanowania i w stosunku do których nie będą podejmowane działania naprawcze. Możesz też używać wskaźników, aby generować alerty dla konkretnych plików, adresów IP lub URL.

W niektórych produktach można określić dozwolone wskaźniki dla plików, adresów IP, URL, domen oraz cyfrowych podpisów aplikacji.

(Microsoft)

Wskaźniki dla plików pozwalają uniknąć blokady konkretnych plików, w tym plików wykonywalnych, takich jak .exe i .dll, które są wykorzystywane w twojej organizacji.

Wskaźniki dla adresów IP, URL lub domen pozwalają uniknąć blokady dostępu do stron lub adresów IP, które wykorzystuje twoja organizacja.

Wskaźniki dla cyfrowych podpisów aplikacji pomagają zapobiegać blokowaniu aplikacji wytworzonych wewnątrz twojej organizacji oraz mogą być wykorzystywane w tworzeniu innych reguł np. CFA (ang. Controlled Folder Access).

Krok 4: Prześlij plik do analizy

Możesz przesłać plik do dalszych analiz wykonywanych poza twoją organizacją przez wyspecjalizowane zespoły, aby pomóc doskonalić zdolności zapobiegania zagrożeniom. Jeśli produkt nie wykrył zagrożenia, możesz przesłać nieprawidłowo wykryty lub pominięty plik, a jeśli nie posiadasz tego pliku, możesz przesłać raport dotyczący danego alertu.

Krok 5: Przejrzyj i i dostosuj ustawienia

Jeśli otrzymujesz znaczną liczbę FP, upewnij się, że ustawienia produktów odpowiedzialnych za detekcję są prawidłowe, a w razie potrzeby dokonaj niezbędnych modyfikacji. Jeśli ustawienia będą zbyt czułe, skutkować to będzie dużą liczbą FP. 

Pamiętaj, że może to być również rezultatem dopuszczenia do użytkowania aplikacji, które, chociaż same nie są złośliwe, to generują FP i mogą spowalniać działanie urządzeń, wyświetlać niechciane reklamy lub instalować niechciane oprogramowanie.

Dostosowanie ustawień dotyczyć może także automatycznego wyjaśniania alertów oraz podejmowania działań naprawczych w przypadku detekcji niepożądanego zdarzenia.

~anna@sekurak.pl

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

Odpowiedz