资产的流程
在大多数组织中,很少有用户拥有只供他们使用的独特应用程序。大多数应用程序,如办公软件包和其他标准应用程序,都安装在多台计算机上。
然而,特定的黑客工具或恶意软件只存在于一台或少数机器上;这些不常见的过程变得很明显,表明用户要么感染了恶意软件,要么正在运行流氓软件。这在当今世界尤其有价值,因为恶意软件已经成为规避反病毒检测技术的高手。
当InsightIDR了解更多关于组织中运行的流程时,它会根据共性对它们进行分类。InsightIDR确定了三种类型的流程:
可以对特定进程和散列发出警报萎靡不振的一个过程或标记过程变体.
独特的过程
“唯一进程”视图显示了唯一的进程,这些进程只能在网络上的单个资产上看到。一个唯一的进程可能意味着一个非法的进程。该视图中显示的信息包括惟一进程的名称、运行该进程的帐户的用户名、资产标识符以及首次和最后一次看到该进程的时间。
罕见的过程
在网络上的一些资产上可以看到一个罕见的过程。
如果发现了一个罕见的进程,您应该将发现它的进程和系统提交给安全管理员进行审查,以确保它们不是规避了其他安全工具的风险软件或恶意软件。
“罕见进程”视图显示罕见进程,与唯一进程不同,它出现了几次。像一个独特的进程一样,一个罕见的进程的存在可能表明一个异常的进程。该视图中显示的信息包括流程的名称、资产帐户(出现的次数)以及首次和最后一次看到该流程的时间。
常见的过程
在许多资产上经常可以看到一个通用流程。
查看所有进程
在InsightIDR主页上,“最新进程”卡显示了顶级独特和罕见的进程。要查看整个列表,请单击更多的链接在卡片的底部。
你也可以去“资产和端点”页面,以查看顶部唯一和罕见的过程的完整列表。
此外,您还可以搜索进程。使用页面顶部的搜索栏搜索任何进程名,例如' blufish .exe '。
在输入进程名的前几个字母后,搜索栏将提供它在网络上发现的与所提供文本匹配的所有进程的全名。搜索进程将返回运行目标进程的所有用户和机器(如果有的话)。
散列过程细节
当您单击某个流程时,InsightIDR将提供该流程的更多详细信息,例如:
- MD5
- SHA1
- 操作系统
- 文件大小
- 签名验证
- 共性
- 文件名
- 声誉
- 威胁等级
- 可靠性
- 首先分析了时间
- 报告文件的声誉
- 运行此哈希的资产
“文件名”也可以点击。来自Process的“Files Names”的详细信息页提供了关于流程变体、签名验证、共性、包含文件的资产和发现时间轴的详细信息。
也可单击“文件声誉”报告,并显示病毒总数的其他详细信息。
还可以将SHA1或MD5哈希粘贴到搜索栏中,以发现网络上是否有运行该二进制文件的系统。
标记进程或变体
流程详细信息页面和流程散列页面都允许您标记流程或流程的变体。一旦标记,如果在网络上的任何其他系统上发现该进程或变体,InsightIDR将生成警报。你可以很容易地关闭一个标志来停止接收警报。
国旗的过程
标记罕见或独特的进程
进程上的标志告诉InsightIDR在每次使用进程时生成警报。如果标记常用进程(如chrome.exe),则可能会收到大量良性警报。为了避免这种情况,我们建议您只标记希望生成警报的进程,例如在您的环境中下载的可执行恶意软件。
要启用进程标志:
- 从左边的菜单中,单击资产&端点.
- 下的名字,选择要更新的流程。
- 单击国旗的过程切换。开关将变成绿色。
禁用进程标志:
当一个标志被启用时,标志进程切换将是绿色的。若要关闭标志,请单击标志进程切换。切换将变为灰色,表示关闭。
标记进程变体
您还可以基于流程变体生成警报。例如,您想知道您的环境中是否有任何用户正在使用具有漏洞的chrome.exe版本。你可以标记chrome.exe进程的特定版本(或变体),如果有人运行过时的chrome版本,就会立即收到警报。
要启用进程哈希,请执行以下操作:
- 从左边的菜单中,单击资产&端点.
- 下的名字,选择要更新的流程。
- 在流程变体下,选择一个流程变体。
- 选择Flag散列切换。开关将变成绿色。
禁用进程哈希:
当一个标志被启用时,Hash标志切换将是绿色的。要关闭标志,请单击哈希标志切换。切换将变为灰色,表示关闭。
重置进程或变体标志
若要重置进程或变体标志,请关闭进程或变体的标志,然后再将其打开。
谷歌a文件名
在查看进程文件名的详细信息时,可以使用谷歌旁边的图标国旗图标以自动进一步研究文件名。
