资产的流程
在大多数组织中,很少有用户拥有只供他们使用的独特应用程序。大多数应用程序,如办公软件包和其他标准应用程序,都安装在多台计算机上。
然而,特定的黑客工具或恶意软件仅存在于一个或少数机器上;这些罕见过程变得显而易见,并表明用户具有签约恶意软件或正在运行Rogue软件。这在当今世界尤其有价值,在恶意软件擅长避免杀毒检测技术。
当InsightIDR了解更多关于组织中运行的流程时,它会根据共性对它们进行分类。InsightIDR确定了三种类型的流程:
独特的过程
“唯一进程”视图显示了唯一的进程,这些进程只能在网络上的单个资产上看到。一个唯一的进程可能意味着一个非法的进程。该视图中显示的信息包括惟一进程的名称、运行该进程的帐户的用户名、资产标识符以及首次和最后一次看到该进程的时间。
罕见的过程
在网络上的一些资产上可以看到一个罕见的过程。
如果发现了罕见的进程,您应该介绍对安全管理员发现的过程和系统以进行审查,以确保它们不是逃避其他安全工具的风险软件或恶意软件。
“罕见进程”视图显示罕见进程,与唯一进程不同,它出现了几次。像一个独特的进程一样,一个罕见的进程的存在可能表明一个异常的进程。该视图中显示的信息包括流程的名称、资产帐户(出现的次数)以及首次和最后一次看到该流程的时间。
常见的过程
在许多资产上经常可以看到一个通用流程。
查看所有进程
在InsightIdr主页上,“最新过程”卡显示了顶级独特和罕见的流程。要查看整个列表,请单击“更多的链接在卡片的底部。
你也可以去“资产和端点”页面,以查看顶部唯一和罕见的过程的完整列表。
此外,您还可以搜索进程。使用页面顶部的搜索栏搜索任何进程名,例如' blufish .exe '。
键入进程名称的前几个字母后,搜索栏提供了它在与提供的文本匹配的网络上发现的任何进程的全名。搜索进程返回运行目标进程的所有用户和计算机,如果有任何情况。
散列过程细节
当您单击某个流程时,InsightIDR将提供该流程的更多详细信息,例如:
- MD5
- SHA1
- 操作系统
- 文件大小
- 签名验证
- 共性
- 文件名
- 声誉
- 威胁等级
- 可靠性
- 首先分析了时间
- 报告文件的声誉
- 运行此哈希的资产
“文件名”也可以点击。“文件名”的详细信息页面从进程中提供有关流程变体,签名验证,共性,包含文件的资产的详细信息,以及发现的时间线。
“文件信誉”报告也可点击,并从病毒总数显示其他详细信息。
还可以将SHA1或MD5哈希粘贴到搜索栏中,以发现网络上是否有运行该二进制文件的系统。
标记进程或变体
流程详细信息页面和流程散列页面都允许您标记流程或流程的变体。一旦标记,如果在网络上的任何其他系统上发现该进程或变体,InsightIDR将生成警报。你可以很容易地关闭一个标志来停止接收警报。
国旗的过程
标记罕见或独特的进程
进程上的标志告诉InsightIDR在每次使用进程时生成警报。如果标记常用进程(如chrome.exe),则可能会收到大量良性警报。为了避免这种情况,我们建议您只标记希望生成警报的进程,例如在您的环境中下载的可执行恶意软件。
要启用进程标志:
- 从左边的菜单中,单击资产和终点。
- 下的名字,选择要更新的流程。
- 单击国旗的过程切换。切换将变为绿色。
禁用进程标志:
当一个标志被启用时,标志进程切换将是绿色的。若要关闭标志,请单击标志进程切换。切换将变为灰色,表示关闭。
标记进程变体
您还可以根据进程变体生成警报。例如,您想知道环境中的用户是否使用具有漏洞的Chrome.exe版本。您可以标记Chrome.exe进程的特定版本(或变体),如果有人运行过时的Chrome版本,立即接收警报。
要启用进程哈希,请执行以下操作:
- 从左边的菜单中,单击资产和终点。
- 下的名字,选择要更新的流程。
- 在流程变体下,选择一个流程变体。
- 选择标志哈希切换。切换将变为绿色。
要禁用进程哈希:
当一个标志被启用时,Hash标志切换将是绿色的。要关闭标志,请单击哈希标志切换。切换将变为灰色,表示关闭。
重置进程或变体标志
若要重置进程或变体标志,请关闭进程或变体的标志,然后再将其打开。
Google一个文件名
当您查看流程文件名的详细信息时,您可以使用谷歌旁边的图标国旗图标可进一步自动调查文件名。