Vous êtes sur la page 1sur 57

Pratique

Enquête et menace
Atelier de chasse

http://www.paloaltonetworks.com

© 2020 Palo Alto Networks. Confidentiel et propriétaire.

1
Guide de l'atelier - Dernière mise à jour le 4 juin 2020

Comment utiliser ce guide

Contexte

Terminologie

Flux de travail de base

Activité 0 - Connectez-vous au Cortex Hub

Tâche 1 - Ouvrir la page principale de Cortex Hub Tâche 2 -

Connectez-vous pour afficher les applications

Activité 1 - En savoir plus sur le tableau de bord des incidents

Tâche 1 - Ouvrir l'application Cortex XDR et passer en revue la page par défaut Tâche 2 - Ouvrir la

page des incidents et consulter les détails

Activité 2 - Enquêtez sur l'incident de haute gravité décrit comme «BabyShark Command and
Contrôle"

Tâche 1 - Ouvrir et consulter la page d'incident

Tâche 2 - Ouvrir et analyser l'alerte PAN NGFW pour PC3 Tâche 3 - Trouver la

cause première de toutes les alertes

Tâche 4 - Examiner les preuves et en savoir plus sur les actions de réponse

Activité 3 - Enquêter sur l'incident de haute gravité décrit comme une `` menace comportementale ''

Tâche 1 - Ouvrir et revoir la page d'incident Tâche 2 -

Analyser les alertes de l'incident Tâche 3 - Trouver la cause

première de toutes les alertes

Tâche 4 - Examiner les preuves et lire les actions de réponse

Activité 4 - Enquêter sur l'incident de gravité moyenne décrit comme `` nouveau


Comportement'

Tâche 1 - Ouvrir et consulter la page d'incident

Tâche 2 - Analyser l'alerte de commande et de contrôle Tâche 3 -

Analyser l'alerte de découverte

Tâche 4 - Analyser les alertes de mouvement latéral

Tâche 5 - Examiner les preuves et en savoir plus sur les actions de réponse

Activité 5 - Enquêter sur l'incident de gravité moyenne décrit comme un `` balayage de port ''

Tâche 1 - Ouvrir et consulter la page d'incident

Tâche 2 - Analyser l'alerte nommée Échec des connexions (ping) Tâche 3 - Analyser

l'alerte nommée Nouveau comportement administratif

© 2020 Palo Alto Networks


Confidentiel. Ne pas distribuer.
2
Guide de l'atelier - Dernière mise à jour le 4 juin 2020

Tâche 4 - Analyser l'alerte nommée Remote Command Execution Tâche 5 -

Analyser l'alerte nommée Port Scan

Tâche 6 - Examiner les preuves recueillies et discuter

Activité 6 - Traquer les menaces liées aux incidents ci-dessus

Tâche 1 - Rechercher d'autres utilisations de procdump

Tâche 2 - Rechercher des utilisations d'autres outils avec l'indicateur «-accepteula» Tâche 3 -

Rechercher d'autres utilisations de schtasks.exe pour gagner en persistance

Activité 7 - Chasse aux menaces sur la base des actualités de l'industrie

Tâche 1 - Lire les actualités et en savoir plus sur les menaces possibles Tâche

2 - Effectuer des recherches en fonction des modèles de menaces Tâche 3 -

Modifier la requête et créer une règle BIOC

Activité 8 - Étudiez l'incident de faible gravité décrit comme `` Liste de cache ARP rare ... ''
Tâche 1 - Examiner l'incident, analyser les alertes, collecter des preuves Tâche 2 - Discussion

en classe

© 2020 Palo Alto Networks


Confidentiel. Ne pas distribuer.
3
Guide de l'atelier - Dernière mise à jour le 4 juin 2020

Comment utiliser ce guide

Contexte
Vous êtes un analyste en sécurité travaillant dans une grande chaîne de vente au détail nommée Bullseye. Bullseye compte plus de 1000
magasins de détail dans le monde (y compris aux États-Unis, en Asie, en Australie, en Europe et en Amérique du Sud) et chaque magasin de
détail dispose de plus de 20 machines de point de vente (POS) utilisées par les caissiers et les clients pour effectuer des transactions. Bullseye
dispose également d'un réseau complexe permettant aux entrepreneurs d'accéder à distance.

En tant qu'entreprise de vente au détail, votre environnement est constamment exposé aux menaces internes et aux adversaires externes. En
raison des nouvelles du secteur, vous craignez que vos machines de point de vente aient été violées.

Terminologie
Languette : fait référence aux différents onglets en haut de chaque écran dans l'interface graphique.
Sous-onglet fait référence aux options associées à chaque «onglet» dans la colonne de gauche de chaque écran.

Nœud ou Icône: fait référence aux différentes images qui peuvent être sélectionnées dans les visualisations qui apparaissent dans
l'interface utilisateur.
Navigation dans le Cortex Hub: n'importe laquelle des applications peut être ouverte en cliquant dessus avec le bouton gauche. Comme
alternative, certains utilisateurs préfèrent cliquer avec le bouton droit de la souris et ouvrir l'application dans un nouvel onglet, en gardant la
page principale de Cortex Hub ouverte.

Flux de travail de base


Chacune des activités suivra le flux de travail de base ci-dessous - à mesure que vous vous sentirez plus à l'aise, n'hésitez pas à essayer vos
propres étapes.
1. Afficher les détails de l'incident et les détails de l'alerte
2. Analysez les alertes et tous les processus et exécutables qui ont provoqué le déclenchement des alertes
3. Afficher toutes les activités des points de terminaison telles que les opérations sur les fichiers ou les opérations de registre

L'objectif du workflow d'enquête est de répondre à ces questions:


● Décidez si l'incident et l'alerte sont un vrai positif ou un faux positif
● Comprendre où dans la chaîne d'attaque il a été bloqué
● Comprendre la cause première et si des actions de suivi sont nécessaires

© 2020 Palo Alto Networks


Confidentiel. Ne pas distribuer.
4
Guide de l'atelier - Dernière mise à jour le 4 juin 2020

Activité 0 - Connectez-vous au Cortex Hub


Remarque: suivez toujours votre instructeur car il a des diapositives qui vous guideront tout au long du processus de connexion. Les étapes
ci-dessous sont documentées à titre de référence uniquement.

Tâche 1 - Ouvrir la page principale du Cortex Hub


Étape 1: Utilisez Chrome et ouvrez un nouveau navigateur en utilisant mode incognito Étape 2 : Ouvrez
cette URL: https://apps.paloaltonetworks.com/apps

Tâche 2 - Connectez-vous pour afficher les applications


Étape 1: Cliquez sur l'un des Se connecter options en haut à droite ou au milieu de l'écran. Vous serez redirigé vers la page
SSO de Palo Alto Networks.

© 2020 Palo Alto Networks


Confidentiel. Ne pas distribuer.
5
Guide de l'atelier - Dernière mise à jour le 4 juin 2020

Étape 2: Tapez ou collez le Adresse e-mail fournie par l'instructeur et cliquez Suivant . ensuite
tapez ou collez dans le Mot de passe fourni par l'instructeur et cliquez sur Se connecter .

Une fois que vous êtes connecté, vous verrez quatre (ou éventuellement cinq) applications comme indiqué dans la capture d'écran
ci-dessous:

Votre point de vue peut être un peu différent. L'application importante à voir est celle nommée Cortex XDR, mise en évidence par la boîte
rouge ci-dessus.

Il existe d'autres applications disponibles dans le Cortex Hub. Après l'atelier, n'hésitez pas à parcourir et à lire sur
les différentes applications.

C'est la fin de l'activité 0.

© 2020 Palo Alto Networks


Confidentiel. Ne pas distribuer.
6
Guide de l'atelier - Dernière mise à jour le 4 juin 2020

Activité 1 - En savoir plus sur le tableau de bord des incidents

Le tableau de bord Incidents de Cortex XDR est la première page que vous voyez dans l'application Cortex XDR lorsque vous vous connectez
et fournit un résumé graphique des incidents dans votre environnement, avec les incidents classés par ordre de priorité et classés par gravité,
cessionnaire, âge de l'incident et hôtes affectés.

Dans cette activité, vous allez:

● Comprendre comment les informations du tableau de bord des incidents sont organisées
● Comprendre comment les informations de la page Incident sont organisées
● Découvrez certaines des opérations possibles sur la page Incident

Tâche 1 - Ouvrez l'application Cortex XDR et passez en revue la page par défaut

Étape 1 : Dans le hub Cortex, clic-droit sur le Cortex XDR et choisissez Ouvrir le lien dans un nouveau
Languette . Les applications que vous voyez peuvent être légèrement différentes.

Si vous voyez un message qui dit Aucune instance active , demandez à votre instructeur une solution de contournement - vous recevrez
le lien direct que vous pouvez copier et coller dans le navigateur.

Étape 2 : Dans le nouvel onglet du navigateur, la page de destination Cortex XDR s'ouvrira - cette page s'appelle le
Tableau de bord de gestion des incidents. Le tableau de bord des incidents comporte 5 panneaux comme indiqué ci-dessous - notez que votre
point de vue pourrait être différent que la capture d'écran ci-dessous, car les horodatages des incidents datent de plus de 30 jours. Vous
devriez revenir à ce tableau de bord et l'actualiser après chaque

© 2020 Palo Alto Networks


Confidentiel. Ne pas distribuer.
sept
Guide de l'atelier - Dernière mise à jour le 4 juin 2020

des activités, car les modifications que vous apportez aux incidents verront leur horodatage mis à jour et réapparaîtra après quelques
minutes.

Étape 3 : Passez en revue les informations dans les différents panneaux et n'hésitez pas à revenir à ce tableau de bord en parcourant le
laboratoire, car les données peuvent changer à mesure que les utilisateurs apportent des modifications.

En haut, il y a trois panneaux comme décrit ci-dessous:


Panneau intitulé Incidents ouverts par gravité: Ce graphique affiche le nombre total d'incidents ouverts par gravité.
Sélectionnez une gravité pour ouvrir une vue filtrée des incidents selon la gravité sélectionnée.

Panneau intitulé Incidents par cessionnaire (5 principaux cessionnaires): Ce graphique montre la distribution
d'incidents par cessionnaire et montre comment de nombreux incidents ouverts sont âgés. Les incidents âgés n'ont pas été modifiés
en sept jours. Sélectionnez un destinataire pour ouvrir le tableau des incidents filtré pour afficher les incidents uniquement avec le
destinataire sélectionné.
Panel intitulé Open Incidents: Le graphique Incidents ouverts montre tous les incidents ouverts au fil du temps et montre
comment plusieurs des incidents ouverts sont âgés. Les incidents âgés n'ont pas été modifiés en sept jours. Sélectionnez la plage
horaire en haut à droite pour afficher le nombre d'incidents ouverts au cours des derniers 1D (1 jour), 7D (7 jours) et 30D (30
jours). Passez la souris sur le graphique pour afficher le nombre d'incidents ouverts un jour donné.

Sur la rangée du bas, il y a deux panneaux comme décrit ci-dessous:


Panel intitulé Top Incidents (Top 10): Le tableau Principaux incidents répertorie les incidents classés par ordre de gravité des
alertes. Sélectionnez un incident pour afficher les détails de l'incident.

© 2020 Palo Alto Networks


Confidentiel. Ne pas distribuer.
8
Guide de l'atelier - Dernière mise à jour le 4 juin 2020

Panneau intitulé Top Hosts (Top 10): La zone Principaux hôtes du tableau de bord répertorie les hôtes avec le plus
grand nombre d'incidents et la répartition des incidents par gravité des incidents. Sélectionnez un hôte pour afficher tous
les incidents liés à cet hôte.

Étape 4: En haut à gauche, cliquez sur le menu déroulant pour afficher les autres tableaux de bord. Les tableaux de bord seront
vides car les agents ne sont plus connectés à ce client Cortex XDR.

Étape 5: En bas à droite, il y a une icône pour ouvrir le Guide Center. Cliquez dessus pour afficher les options - vous ne
pourrez pas suivre les guides dans le cadre de cet atelier.

Tâche 2 - Ouvrez la page des incidents et examinez les détails

Étape 1 : En haut, cliquez sur le Enquête déroulant et sélectionnez Incidents , comme indiqué ci-dessous. Le navigateur
affichera maintenant la liste des incidents.

Étape 2: En haut, effacez le filtre temporel en déplaçant la souris à droite de la dernière mise à jour cellule et cliquez sur le X . Cela
affichera tous les incidents, même ceux qui datent de plus de 30 jours.

Étape 3: Clique sur le GRAVITÉ colonne deux fois pour modifier l'ordre de tri, afin que vous voyiez les incidents de gravité élevée en haut.
Survolez chacune des cellules du DESCRIPTION DE L'INCIDENT colonne à

© 2020 Palo Alto Networks


Confidentiel. Ne pas distribuer.
9
Guide de l'atelier - Dernière mise à jour le 4 juin 2020

Lisez à propos de l'incident. Ensuite, pour les lignes contenant des hyperliens sous le HÔTES colonne, cliquez dessus pour développer la HÔTES
.

Étape 4: Faites un clic droit sur l'une des lignes et notez les options disponibles (voir capture d'écran ci-dessous). Les options peuvent être
appliquées directement depuis cette page, ou une fois la page d'incident ouverte. Nous en apprendrons davantage sur ces options dans les
prochaines activités.

En ce qui concerne la Incident d'étoile option: les incidents marqués d'une étoile sont un moyen de gérer la hiérarchisation d'un incident ou
d'une alerte.
En ce qui concerne la Changer de statut option: le statut des incidents est défini sur Nouveau quand ils sont générés. Lors du
démarrage de l'enquête sur un incident, il est recommandé de définir le statut sur
Sous enquête. Une fois l'enquête terminée, la plupart des utilisateurs modifient le statut en
Résolu . Parce que l'enquête pouvait aboutir à diverses conclusions, le Résolu Le statut est subdivisé en raisons de
résolution ci-dessous:
● Résolu - Menace gérée
● Résolu - Problème connu
● Résolu - Incident en double
● Résolu - Faux positif
● Résolu - Autre

C'est la fin de l'activité 1.


Avant de continuer, fermez tous les onglets du navigateur ouverts pendant cette

activité.

© 2020 Palo Alto Networks


Confidentiel. Ne pas distribuer.
dix
Guide de l'atelier - Dernière mise à jour le 4 juin 2020

Activité 2 - Enquêter sur l'incident de haute gravité décrit comme ``


Commandement et contrôle de BabyShark ''

Dans cette activité, vous explorerez la page des détails de l'incident pour un incident de gravité élevée, puis analyserez et enquêterez sur
l'alerte. La page Détails de l'incident regroupe toutes les alertes, les informations et les actifs et artefacts affectés à partir de ces alertes
dans un seul emplacement. À partir de la page Détails de l'incident, vous pouvez gérer l'alerte et enquêter sur un événement dans le
contexte et l'étendue d'une menace.

L'incident utilise une alerte de menace de NGFW liée aux logiciels malveillants de ce Recherche de l'unité 42
article . Le lien complet est ci-dessous:
https://unit42.paloaltonetworks.com/new-babyshark-malware-targets-us-national-security-t hink-tanks .

Tâche 1 - Ouvrir et consulter la page d'incident


Étape 1: Revenez à l'onglet de la page Incidents, puis recherchez ID D'INCIDENT 128 avec le
description commençant par ' Détection de trafic BabyShark Command and Control '

Étape 2 : Cliquez avec le bouton droit n'importe où sur cette ligne et sélectionnez Voir l'incident pour examiner l'incident plus en détail.
Cela ouvrira un nouvel onglet.

Étape 3 : Sous Artefacts clés (le chargement peut prendre 10 secondes), cliquez sur la petite icône de vue et examinez le à
rapport Wildfire pour l'un de ces exécutables qui vous intéressent.

© 2020 Palo Alto Networks


Confidentiel. Ne pas distribuer.
11
Guide de l'atelier - Dernière mise à jour le 4 juin 2020

Si vous ne connaissez pas le but de l'un des noms d'exécutables, n'hésitez pas à effectuer une recherche Google pour en savoir plus.

Remarque: vous devrez peut-être les pour développer la section supérieure ou faire défiler vers le bas
afficher tous.

Étape 4 : Sous Actifs clés, notez les noms des ordinateurs et le nom de l'utilisateur impliqué dans l'incident. Notez qu'il
existe deux ensembles de PC Windows et deux utilisateurs sous les actifs.

Étape 5: Vers le bas de l'écran, déplacez le bouton vers le haut et afficher toutes les alertes.
Faites défiler vers la droite pour voir toutes les colonnes et notez les différentes valeurs dans le SOURCE D'ALERTE , ACTION ,
et CATÉGORIE Colonnes. Si nécessaire, cliquez sur le HORAIRE pour modifier l'ordre de tri afin que la première alerte soit en
haut.

Étape 6: Clique sur le APERÇU et passez en revue les différents BIOC qui ont un faible ou GRAVITÉ . le APERÇU L'onglet est
utilisé pour organiser les alertes de faible gravité et d'information, ce qui permet d'ajouter du contexte aux alertes et incidents de
gravité plus élevée.

Remarque sur le flux de travail: lorsque vous étudiez un incident, vous pouvez consulter les alertes de gravité plus élevée à partir de l'onglet
Alertes, puis consulter les informations, si nécessaire, pour obtenir un contexte supplémentaire sur l'incident. Seules les alertes de gravité
moyenne et élevée déclenchent des incidents (les informations ne génèrent pas d'incidents). Pour les besoins de ce laboratoire, les incidents
de faible gravité ont été regroupés manuellement en

© 2020 Palo Alto Networks


Confidentiel. Ne pas distribuer.
12
Guide de l'atelier - Dernière mise à jour le 4 juin 2020

alertes pour réduire les étapes d'enquête et maintenir le temps du laboratoire à environ 90 minutes.

Remarque concernant le point vert et les points gris à gauche du tableau ALERTES et INSIGHTS: le
Le tableau Alertes affiche un point vert à gauche de la ligne d'alerte pour indiquer que l'alerte est éligible pour l'analyse dans la vue de causalité.
Si l'alerte comporte un point gris, l'alerte n'est pas éligible pour l'analyse dans la vue de causalité. Cela peut se produire lorsqu'aucune donnée
n'est collectée pour un événement ou que l'application n'a pas encore terminé le traitement des données EDR. Pour voir pourquoi l'analyse de
raison n'est pas disponible, passez la souris sur le point gris.

Étape 7: Cliquez à nouveau sur le ALERTES languette.

Tâche 2 - Ouvrir et analyser l'alerte PAN NGFW pour PC3


Étape 1: Trouvez le Haute Alerte de gravité de PC3 , nommé Commande et contrôle de BabyShark ( Tu
peut trier par GRAVITÉ si vous souhaitez consulter les alertes de gravité élevée en haut). Puis faites un clic droit pour sélectionner Analyser . Cela
ouvrira un nouvel onglet de navigateur - vérifiez les paramètres de votre navigateur et activez les fenêtres contextuelles si vous ne le voyez
pas.

Notez l'organisation dans le nouvel onglet du navigateur. La section du haut est présentée sous forme de capture d'écran ci-dessous:

Cette section est la section Endpoint and Actions et contient le nom d'hôte et l'adresse IP de la machine, le processus
responsable de l'alerte et le PID (ID de processus). Le côté droit de cette section permet des actions de réponse telles que
l'isolement de la machine hôte du réseau à l'aide de l'agent XDR, du terminal Live, ou pour lancer une analyse Pathfinder ( Vos
rôles peuvent ne pas avoir
autorisations correctes pour voir ces options ).

© 2020 Palo Alto Networks


Confidentiel. Ne pas distribuer.
13
Guide de l'atelier - Dernière mise à jour le 4 juin 2020

Sous cette section se trouve le diagramme de causalité:

Ce diagramme montre la chaîne d'exécution liée à l'alerte, y compris tous les processus impliqués. Il est possible de faire un clic droit sur les
nœuds de processus dans la chaîne pour effectuer des actions telles que Voir les enfants ou Afficher le parent processus, Liste noire ou Liste
blanche un processus, etc. Causality analyse en continu et automatiquement les données pour identifier les chaînes d'événements associées à
tout processus, hôte, utilisateur, connexion ou fichier pour révéler la chaîne d'attaque derrière chaque menace. Il visualise la causalité (cause et
effet) des événements - automatisant le processus de connexion par points qu'un enquêteur aurait autrement à faire manuellement. Le résultat
sera une analyse complète des causes profondes des raisons pour lesquelles une alerte a été déclenchée (à la fois des alertes de détection et de
prévention), quels pourraient être les dommages potentiels et de nombreux éléments notables qui nécessitent une attention particulière.

le L'icône représente une alerte NGFW. le l'icône (non représentée) représente un Cortex XDR

Événement de sécurité de l'agent. le L'icône représente un BIOC XDR ou un indicateur de comportement de

Alerte de compromis. le L'icône représente une alerte XDR Analytics. le icon est un CIO ou

© 2020 Palo Alto Networks


Confidentiel. Ne pas distribuer.
14
Guide de l'atelier - Dernière mise à jour le 4 juin 2020

Indicateur d'alerte de compromis. le L'icône (non illustrée) représente un BIOC XDR Analytics

alerte. le L'icône représente une alerte de source tierce (comme Check Point, Fortinet, etc.). le

L'icône représente deux alertes (ou plus) et peut être une combinaison de l'une des alertes ci-dessus.

Ci-dessous se trouve la section Informations:

Lorsque vous cliquez sur l'un des nœuds de la section Chaîne de causalité, les données de cette section s'actualisent pour afficher des
informations à son sujet telles que le chemin, les valeurs de hachage, l'argument de la ligne de commande, le verdict WildFire, etc. Différents
types de nœuds afficheront des informations différentes. Notez la ligne de commande complète dans la case rouge - cette commande était la
cause première de l'alerte NGFW. En dessous se trouve la section des données brutes.

Lorsque vous cliquez sur l'un des nœuds de la section Chaîne de causalité, les données de cette section s'actualisent pour afficher toutes
les données brutes liées au processus par leur type, par exemple les fichiers auxquels vous avez accédé, les connexions établies, etc.

Étape 2: Affichez le nœud curl.exe qui a le icône au-dessus. Ce nœud est sélectionné et
de couleur bleue, par opposition à la couleur blanche pour les autres nœuds. Le nombre de chaque nœud représente le nombre
de processus enfants qui ont été démarrés par ce nœud.

Étape 3: Clique sur le ALERTE Languette. Cette colonne affiche deux BIOC XDR et une alerte PAN NGFW qui ont été déclenchés en rapport
avec cet événement. Les BIOC XDR (Behavioral Indication of Compromise) sont des règles qui examinent les modèles souvent utilisés lors de
divers scénarios d'attaque / violation. Cortex XDR aura des centaines de BIOC XDR fournis prêts à l'emploi, mais il est également possible de
créer des règles personnalisées.

Il y a un total de trois alertes (l'ordre de tri dans votre navigateur peut être différent):
BIOC XDR informatif: Le processus non signé s'exécute à partir du dossier racine de Windows
BIOC XDR informatif: Processus non signé s'exécutant à partir d'un répertoire temporaire
Alerte PAN NGFW élevé: Détection du trafic BabyShark Command and Control

© 2020 Palo Alto Networks


Confidentiel. Ne pas distribuer.
15
Guide de l'atelier - Dernière mise à jour le 4 juin 2020

Faites défiler vers la droite et notez que les deux BIOC informatifs XDR sont classés comme Exécution ainsi sont utilisés pour fournir un
contexte et un enrichissement. L'alerte de gravité élevée est plus notable et
catégorisé comme Spyware détecté via le profil Anti-Spyware .

Étape 4: Clique sur le RÉSEAU languette. Vous verrez maintenant la preuve de la connexion unique entre le point de terminaison et le site
Web à l'origine de l'alerte. En option, cliquez sur le MODULE onglet pour afficher tous les modules et fichiers .DLL chargés lors de l'exécution
de la commande. Ces informations sont utiles pour d'autres types de fichiers malveillants.

Étape 5: Faites défiler jusqu'à trouver l'autre nœud nommé curl.exe et cliquez dessus pour le sélectionner (il devrait être juste au-dessus du
nœud curl.exe qui est surligné en bleu). Cela changera les informations dans la barre d'informations sombre. Notez à nouveau la ligne de
commande - cette commande curl était la cause première de l'alerte IOC. Vous pouvez éventuellement répéter le processus et afficher le ALERTE
et RÉSEAU languette.

Étape 6: Faites défiler vers le haut et cliquez sur le nœud nommé powershell.exe . Survolez le CMD section pour passer en revue la
commande PowerShell complète. Regardez les quatre BIOC XDR et l'alerte de point de contrôle unique sous le ALERTE onglet (nous
analyserons l'alerte Check Point dans la tâche suivante). Ces alertes résument le comportement suspect du script PowerShell. En option,
regardez le PROCESSUS
et RÉSEAU onglets.

Étape 7: Clique sur le FICHIER tab, puis recherchez la colonne nommée TYPE D'ACTION. Cliquez sur le filtre pour

TYPE D'ACTION et tapez Écriture de fichier pour changer la vue des seuls fichiers qui étaient
écrit sur le disque.

© 2020 Palo Alto Networks


Confidentiel. Ne pas distribuer.
16
Guide de l'atelier - Dernière mise à jour le 4 juin 2020

Regardez ensuite la colonne de description (ou faites défiler vers la droite pour trouver le CHEMIN DU FICHIER colonne). Vous verrez que
certains fichiers suspects (kernal.zip, kernal.exe, curl.exe et 517agab7s.py) ont été écrits dans le dossier Temp.

Étape 8: Clique sur le ENREGISTREMENT Tab et faites défiler vers la droite pour afficher toutes les informations. Ce tableau est également
utile pour l'investigation car il montre toutes les modifications de registre qui ont été apportées par tous les exécutables de cette alerte.

Étape 9: Faites défiler vers le haut et à droite du powershell.exe nœud, cliquez sur le nœud nommé
kernal.exe. Faites défiler vers le bas et cliquez à nouveau sur l'onglet ALERTE, et notez qu'il y a un moyen
GRAVITÉ alerte de l'agent XDR qui était Empêché (bloqué) . Pour résumer, ces deux dernières étapes (vérifiez le HORAIRE
colonne) prouvent que le script PowerShell a téléchargé un fichier et a tenté de l'exécuter, mais a été bloqué par l'agent
XDR. Nous examinerons le script PowerShell plus en détail dans la tâche suivante.

Étape 10: Faites défiler vers le haut et trouvez le nœud nommé python.exe . Cette fois, au lieu de cliquer sur le nœud, cliquez sur le triangle
rouge au-dessus. Cela modifie les données dans la barre d'informations.

© 2020 Palo Alto Networks


Confidentiel. Ne pas distribuer.
17
Guide de l'atelier - Dernière mise à jour le 4 juin 2020

Étape 11: Notez que la barre rouge affiche «1 sur 2» alertes. Lisez le LA SOURCE , ALERTE NOM
et LA DESCRIPTION dans la barre d'informations qui montre qu'il s'agit d'un PAN NGFW alerte. Cliquez ensuite sur la flèche pour afficher la
deuxième alerte.

Étape 12: Remarquez que la barre rouge affiche «2 sur 2» alertes. On voit que cette alerte est un XDR BIOC , et le CATÉGORIE indique
Latéral Mouvement car le script Python s'exécute à partir d'un dossier temporaire.

Étape 13: Faites défiler vers le haut et cliquez sur le python.exe nœud. Maintenant, regardez la ligne de commande réelle pour voir qu'un
script python nommé 5172agab7s.py a été exécuté avec quelques paramètres, y compris l'adresse IP de 172.16.30.10 .

Tâche 3 - Ouvrir et analyser l'alerte Check Point pour PC3


Étape 1: Revenez à l'onglet du navigateur avec le Incident de BabyShark à nouveau, et dans le tableau ALERTES en bas, recherchez
l'alerte de gravité moyenne où l'hôte est PC3 , la Source est Check Point Anti Virus et le nom de l'alerte est REP.w32malxvxbot. Puis faites
un clic droit dessus pour Analyser il.

Étape 2: L'alerte ouvrira un nouvel onglet de navigateur et affichera un diagramme de causalité similaire à celui que nous avons vu
auparavant. Vers le bas, le nœud powershell.exe sera mis en surbrillance, indiquant que PowerShell a provoqué l'alerte Check Point.

© 2020 Palo Alto Networks


Confidentiel. Ne pas distribuer.
18
Guide de l'atelier - Dernière mise à jour le 4 juin 2020

Étape 3: Consultez le texte de la section Informations, y compris toutes les commandes PowerShell qui ont été utilisées.

icône. Voir
Étape 4: Au dessus de powershell.exe nœud, cliquez sur les nouvelles données du pare-feu tiers dans le panneau Information lié à la
cette
alerte et que le LA SOURCE est Point de contrôle -
Antivirus

Étape 5: Clique sur le powershell.exe nœud à nouveau. Vers le bas de l'écran, cliquez sur le
ALERTE onglet pour afficher toutes les alertes qui ont été déclenchées par la commande Powershell. Cela montre comment Cortex XDR est
capable d'assembler automatiquement les alertes de diverses sources réseau avec les données des agents Cortex XDR, ce qui permet de
réduire le travail manuel et d'accélérer le temps d'enquête.

Tâche 4 - Trouver la cause première de toutes les alertes


Étape 1: Revenez au diagramme de causalité. Puis faites un clic droit sur le nœud étiqueté
WinRAR.exe et sélectionnez Afficher le parent ( capture d'écran de gauche ci-dessous). Cela élargira la causalité

© 2020 Palo Alto Networks


Confidentiel. Ne pas distribuer.
19
Guide de l'atelier - Dernière mise à jour le 4 juin 2020

section (capture d'écran à droite ci-dessous) et vous verrez que opera.exe a 47 processus enfants. Notez également la possibilité de Enquêter
sur la chronologie - cette action sera effectuée plus tard.

Étape 2: Faites un clic droit sur le nœud étiqueté opera.exe et sélectionnez Afficher le parent pour voir s'il a été ouvert par un autre
processus. Tu verras ça opera.exe a été ouvert par explorer.exe , ce qui indique que la cause première était un utilisateur ouvrant le
navigateur Opera par lui-même puis téléchargeant et exécutant le contenu, par opposition aux fichiers lancés à partir d'Outlook ou d'un
navigateur de messagerie.

Étape 3: Faites un clic droit sur le nœud étiqueté opera.exe et sélectionnez Afficher les enfants. Faites défiler vers le bas et parcourez les
noms. Tu verras WinRAR.exe , mais voyez-vous d'autres processus enfants qui sont suspects ou méritent d'être étudiés? Si vous le faites,
notez-le pour discussion, puis cliquez sur la case à cocher puis sur «OK» pour afficher l'arborescence des processus. Fermez la boîte de
dialogue lorsque vous avez terminé.

© 2020 Palo Alto Networks


Confidentiel. Ne pas distribuer.
20
Guide de l'atelier - Dernière mise à jour le 4 juin 2020

Étape 4: Clique sur le WinRAR.exe nœud à nouveau, puis survolez la ligne de commande. Remarquerez que WinRAR.exe a
ouvert un fichier dans le répertoire Téléchargements. Quel nom voyez-vous? (Notez le nom de la discussion.)

Étape 5 : Sur l'un des nœuds du diagramme, cliquez avec le bouton droit sur l'un d'eux et sélectionnez Enquêter sur la chronologie . Dans la
capture d'écran ci-dessous, opera.com est utilisé.

Étape 6: Dans le nouvel onglet du navigateur qui s'ouvre, utilisez votre souris pour sélectionner et zoomer sur la période appropriée et
afficher les informations. (Notez qu'il y a un bogue dans cette version - dans le produit réel, il devrait être zoomé automatiquement.) Cette
étape peut être utilisée plus tard dans toutes les autres activités.

Étape 7 (facultative): Une fois que vous avez zoomé, n'hésitez pas à survoler les différents objets et à explorer cette page
plus en détail.

© 2020 Palo Alto Networks


Confidentiel. Ne pas distribuer.
21
Guide de l'atelier - Dernière mise à jour le 4 juin 2020

Tâche 5 - Examiner les preuves et en savoir plus sur les actions de réponse

Étape 1: Revenez à l'onglet du navigateur avec Incident de BabyShark à nouveau , et faites attention aux 18 alertes en bas de l'écran.
Notez qu'il y a des alertes pour PC3 et PC4 . L'écran de causalité que vous avez visualisé dans les tâches précédentes affiche toutes les
alertes pour PC3 . Si le temps le permet, répétez le processus et analysez les alertes pour PC4 .

Étape 2: Examiner les preuves recueillies


● L'utilisateur a téléchargé un fichier compressé en pensant qu'il était lié à Game of Thrones et a donc utilisé WinRAR pour l'ouvrir.
Cela a commencé une séquence d'activités sur le réseau et les fichiers qui ont provoqué plusieurs alertes, à la fois sur le réseau
(via le NGFW) et sur le point de terminaison (via l'agent XDR).

● L'enquête a révélé que plusieurs commandes PowerShell étaient utilisées pour télécharger et écrire des fichiers sur le disque.
Les connexions réseau ont été établies à la fois en interne et en externe. Les noms des fichiers, ainsi que la façon dont ils ont
● été exécutés, indiquent qu'un utilisateur surfe sur le Web.

Étape 3: Pensez aux actions de réponse à effectuer.


Maintenant que nous comprenons ce qui s'est passé, nous devons réagir à l'incident.

Action de réponse - NE CLIQUEZ SUR AUCUN BOUTON DU SYSTÈME


À ce stade, la machine doit être isolée du réseau. Les personnes utilisant le système cliquent maintenant sur le je solate
Host bouton dans le coin supérieur droit de l'écran pour vous assurer
cette machine ne pourra pas communiquer avec les hôtes du réseau.
Si une enquête plus approfondie est nécessaire, l'action Live Terminal permettrait aux analystes de sécurité d'ouvrir une invite de
commande sur la machine Windows, d'examiner les fichiers sur le disque et de les récupérer.
à des fins d'analyse ou exécutez des commandes python sur le point de terminaison.

Action de réponse - NE CLIQUEZ SUR AUCUN BOUTON DU SYSTÈME

© 2020 Palo Alto Networks


Confidentiel. Ne pas distribuer.
22
Guide de l'atelier - Dernière mise à jour le 4 juin 2020

Après avoir isolé la machine [contenant l'attaque], les analystes de l'organisation peuvent désormais décider

des prochaines étapes avec moins d'urgence. Les prochaines étapes

généralement soit le formatage de la machine, soit la suppression de toutes les modifications effectuées

lors des attaques [fichiers, clés de registre, etc.]

Étape 4: Êtes-vous d'accord avec les affirmations ci-dessous et les réponses en vert?
● Décidez si l'alerte est True-Positive ou False-Positive: C'est une alerte True-Positive .
● Comprenez où dans la chaîne d'attaque il a été bloqué: Il a été bloqué lors de son exécution sur disque. Certaines des
connexions réseau n’ont pas été bloquées sur le NGFW - elles n’ont été que «détectées (émises une alerte)»

● Comprenez la cause première: L'utilisateur télécharge un fichier zip dans le répertoire des téléchargements, puis l'ouvre et
l'exécute.
● Comprendre si des actions de suivi sont nécessaires: Isoler la machine et formater pour nettoyer les artefacts
pertinents ou utiliser Live Terminal pour les supprimer et supprimer toutes les méthodes de persistance.

C'est la fin de l'activité 2.


Avant de continuer, fermez tous les onglets du navigateur ouverts pendant cette

activité.

© 2020 Palo Alto Networks


Confidentiel. Ne pas distribuer.
23
Guide de l'atelier - Dernière mise à jour le 4 juin 2020

Activité 3 - Enquêter sur l'incident de haute gravité décrit

comme une `` menace comportementale ''

Dans cette activité, vous explorerez la page des détails de l'incident pour un autre incident de gravité élevée, puis
analyserez et enquêterez sur l'alerte. Cet incident a automatiquement agrégé 10 alertes distinctes en un seul incident et,
dans le cadre de l'enquête, comprendra comment elles sont liées, tentera de déterminer la cause première et arrivera à
une conclusion en cas de dommage ou de perte d'informations.

Tâche 1 - Ouvrir et consulter la page d'incident

Étape 1: Revenez à l'onglet de la page Incidents, puis recherchez ID d'incident 216 avec le
description commençant par `` Menace comportementale '' avec 9 autres alertes …

Étape 2 : Cliquez avec le bouton droit n'importe où sur cette ligne et sélectionnez Voir l'incident pour examiner l'incident plus en détail.
Cela ouvrira un nouvel onglet

Étape 3 : Passez en revue les informations dans le Incident , spécifiquement les informations sous Artefacts clés
et Actifs clés .

Étape 4 : Sous Artefacts clés ( le chargement peut prendre 15 secondes), cliquez sur l'une des icônes de vue pour consulter le rapport
Wildfire pour l'un de ces exécutables qui vous intéressent. Si vous ne connaissez pas le but de l'un des exécutables, n'hésitez pas à
effectuer une recherche Google pour en savoir plus
plus, par exemple sur procdump.ex e ou procdump64.exe .

© 2020 Palo Alto Networks


Confidentiel. Ne pas distribuer.
24
Guide de l'atelier - Dernière mise à jour le 4 juin 2020

Étape 5 : Sous Actifs clés , notez les noms des ordinateurs et le nom de l'utilisateur impliqué dans l'incident.
Notez que les appareils avec les noms POS - #### et l'utilisateur
LC-DYNAMIC \ best1_user étaient également impliqués dans les étapes précédentes de l'enquête. Si ce nom d'utilisateur vous semble
familier, vous l'avez peut-être lu à ce sujet Krebs sur la sécurité article. Le lien complet est https://krebsonsecurity.com/tag/best1_user .

Étape 6 (facultative): Au-dessus de la section Actifs clés, n'hésitez pas à ajouter des commentaires sur l'incident

bloc-notes ou discussion d'incident .

Tâche 2 - Analyser les alertes de l'incident


Étape 1: Vers le bas de l'écran, cliquez sur le GRAVITÉ en-tête pour trier l'onglet Alertes par gravité afin que les alertes de gravité élevée
soient en haut. Faites ensuite défiler vers le bas et vers la droite pour passer en revue les différentes colonnes, en particulier le NOM DE
L'ALERTE et le INITIATEUR CMD Colonnes.

Étape 2: Faites un clic droit sur le premier High GRAVITÉ alerte pour HÔTE POS-3421 nommé Menace comportementale à Analyser
l'alerte. Cela ouvrira un nouvel onglet de navigateur.

© 2020 Palo Alto Networks


Confidentiel. Ne pas distribuer.
25
Guide de l'atelier - Dernière mise à jour le 4 juin 2020

Étape 3: Pour le noeud cmd.exe , clic droit et sélectionnez Afficher le parent , puis recommencez pour le
WmiPrvSE.exe nœud qui apparaît. Une fois cela fait, cela ressemblera à la capture d'écran ci-dessous.

Note latérale: Qu'est-ce que WmiPrvSE.exe? selon cette page sur howtogeek.com
(https://www.howtogeek.com/332838/what-is-the-wmi-provider-host-wmiprvse.exe-and-wh y-is-it-using-so-much-cpu /),
fournisseur WMI L'hôte est un processus sous Windows et permet à d'autres applications de votre ordinateur et des ordinateurs
distants de demander des informations sur votre système.

Étape 4: Clique sur le cmd.exe nœud et affichez les informations d'alerte et de commande.

Étape 5: Cliquez autour de toutes les autres icônes et nœuds et vérifiez que les informations que vous voyez correspondent à certains
des détails ci-dessous:

Description de l'alerte: Menace comportementale détectée


Nom de l'alerte: Vidage de la mémoire lsass.exe pour l'extraction des informations d'identification
Commande exécutée: cmd / cc: \ windows \ temp \ procdump -accepteula -ma lsass.exe lsass.dmp

NOTE D'ACCÈS
Qu'est-ce que procdump? Selon Microsoft , ProcDump est un utilitaire de ligne de commande dont le but principal est de surveiller
une application pour les pics de CPU et de générer des vidages sur incident ...
Qu'est-ce que lsass.exe? Selon Wikipédia , lsass.exe est un processus dans les systèmes d'exploitation Microsoft Windows qui est
responsable de l'application de la politique de sécurité sur le système. Il vérifie les utilisateurs qui se connectent à un ordinateur ou un
serveur Windows, gère les changements de mot de passe et crée des jetons d'accès.

Étape 6: Revenez à l'onglet du navigateur qui affiche la vue des incidents pour «Menace comportementale»
avec 9 autres alertes ...

© 2020 Palo Alto Networks


Confidentiel. Ne pas distribuer.
26
Guide de l'atelier - Dernière mise à jour le 4 juin 2020

Étape 7: En option, analysez les autres alertes de gravité élevée pour confirmer qu'elles sont toutes similaires en termes de descriptions
et de commandes utilisées.

Étape 8: Sélectionnez le meilleur moyen GRAVITÉ alerte avec le CATÉGORIE d'accès aux informations d'identification. Si
vous faites défiler vers la droite NOM DE L'ALERTE sera Vidage de la mémoire lsass.exe pour l'extraction des informations d'identification .
Maintenant, faites un clic droit dessus et sélectionnez Analyser. Cela ouvrira un nouvel onglet de navigateur, alors passez à cet onglet de
navigateur.

Étape 9: Faites un clic droit sur les nœuds dans le diagramme de causalité et sélectionnez Afficher le parent pour développer l'arbre de
causalité. Il ressemblera au diagramme que vous avez vu à l'étape ci-dessus. Cela est dû au fait que pour chacun des HOSTS, l'alerte d'agent
XDR et le BIOC XDR sont automatiquement assemblés et sont donc affichés dans le même diagramme de causalité.

© 2020 Palo Alto Networks


Confidentiel. Ne pas distribuer.
27
Guide de l'atelier - Dernière mise à jour le 4 juin 2020

Tâche 3 - Trouver la cause première de toutes les alertes


Étape 1: Après avoir développé le diagramme de causalité, y a-t-il suffisamment d'informations après l'enquête
ci-dessus pour déterminer la cause première? Pensez-y. Une fois l'activité terminée, informez-en l'instructeur et
préparez-vous à en discuter.

Tâche 4 - Examiner les preuves et lire les actions de réponse

Étape 1: Examiner les preuves recueillies


● Cinq noms d'hôte concernés: POS-5562, POS-8642, POS-3421, POS-1712, POS-5086

● Un nom d'utilisateur apparaît dans toute l'enquête: LC-DYNAMIC \ best1_user


● Les outils d'administration Windows sont utilisés: procdump.exe n'est pas un programme par défaut
doit donc être téléchargé, mais WMI est intégré à Windows.
● WMI est utilisé pour exécuter des commandes très suspectes: Il est peut-être utilisé pour obtenir
les informations de débogage ou les informations d'identification de ces machines POS.
● Exécution WMI: Savez-vous s'il est exécuté localement ou à distance?

Étape 2: Pensez aux actions de réponse à effectuer.


Maintenant que nous comprenons ce qui s'est passé, avons-nous suffisamment d'informations pour répondre à l'incident?

Action de réponse - NE CLIQUEZ SUR AUCUN BOUTON DU SYSTÈME


À ce stade, les machines doivent-elles être isolées du réseau? Et le domaine
compte appartenant à LC-Dynamic \ best1_user?
Si une enquête plus approfondie est nécessaire, l'action Live Terminal permettrait aux analystes de sécurité d'ouvrir une invite de
commande sur la machine Windows, d'examiner les fichiers sur le disque et de les récupérer.
à des fins d'analyse ou exécutez des commandes python sur le point de terminaison.

Étape 3: Êtes-vous d'accord avec les affirmations ci-dessous et les réponses en vert?
● Décidez si l'alerte est True-Positive ou False-Positive: Il s'agit probablement d'une alerte True-Positive .

● Comprenez où dans la chaîne d'attaque il a été bloqué: Il a été bloqué par l'agent Cortex XDR en tant que menace
comportementale lorsque la commande était exécutée sur les machines POS- *.
● Comprenez la cause première: Nous n'avons pas encore assez d'informations
● Comprendre si des actions de suivi sont nécessaires: Des recherches supplémentaires sont nécessaires sur les machines POS- *.

REMARQUE: À ce stade, nous avons mené une enquête sur les incidents de gravité élevée. Les prochaines activités
passeront par l'enquête sur les autres incidents.

© 2020 Palo Alto Networks


Confidentiel. Ne pas distribuer.
28
Guide de l'atelier - Dernière mise à jour le 4 juin 2020

C'est la fin de l'activité 3.


Avant de continuer, fermez tous les onglets du navigateur ouverts pendant cette

activité.

© 2020 Palo Alto Networks


Confidentiel. Ne pas distribuer.
29
Guide de l'atelier - Dernière mise à jour le 4 juin 2020

Activité 4 - Enquêter sur l'incident de gravité moyenne décrit

comme un `` nouveau comportement administratif ''

Remarque: ces étapes ci-dessous sont destinées à être un guide et ne couvrent pas tous les écrans ou tableaux pendant l'enquête.
N'hésitez pas à cliquer et à consulter d'autres tableaux ou écrans qui semblent intéressants, et n'hésitez pas à demander à votre
instructeur si vous avez des questions.

Tâche 1 - Ouvrir et consulter la page d'incident

Étape 1: Recherchez l'onglet qui affiche le tableau des incidents. Tous les autres onglets du navigateur peuvent être fermés. Regardez les
alertes de gravité moyenne et trouvez celle qui est la plus récente, datée du 17 octobre.

Étape 2: Faites un clic droit sur la ligne avec le Description de l'incident commençant par ' Nouveau administratif
Comportement' et sélectionnez Voir l'incident . Cela ouvrira un nouveau navigateur et affichera plus d'informations sur l'incident.

Étape 3: En haut à gauche, consultez les informations sous Artefacts clés , y compris les adresses IP et les noms des
exécutables impliqués. Sur la droite, notez que le Actifs clés montre
WS-IT-15674 et le nom d'utilisateur de LC-DYNAMIC \ best1_user , et au bas de la page, notez qu'il y a plus de 10
alertes dont la source est XDR Analytics, XDR BIOC et XDR Analytics BIOC avec divers NOM DE L'ALERTE s. Trier
par HORAIRE colonne et vérifiez l'ordre des alertes détectées. Il y a une capture d'écran ci-dessous pour référence.

© 2020 Palo Alto Networks


Confidentiel. Ne pas distribuer.
30
Guide de l'atelier - Dernière mise à jour le 4 juin 2020

Remarque: En général, l'analyse des alertes dans un INCIDENT sont effectuées par ordre de gravité (par exemple, analyse des alertes de
gravité élevée, puis moyenne, puis faible). Dans ce cas, nous analyserons les alertes en fonction du HORAIRE , et enquêter sur le plus tôt ALERTE
première.

Tâche 2 - Analyser l'alerte de commandement et de contrôle


Étape 1: Trouvez la ligne avec NOM DE L'ALERTE de «Échec du DNS (DNS)» , puis faites un clic droit dessus et sélectionnez
Analyser . Cela ouvrira l'alerte dans un nouvel onglet.

Étape 2: Clique sur le pour en savoir plus sur cette alerte.

© 2020 Palo Alto Networks


Confidentiel. Ne pas distribuer.
31
Guide de l'atelier - Dernière mise à jour le 4 juin 2020

Étape 3: Faites défiler vers le bas pour lire le Description de l'alerte et vers la droite du navigateur, le
MITRE numéro de tactique (cliquez dessus pour en savoir plus). Consultez ensuite les données dans le DNS
QUESTIONS table. Regarde le Interrogé NOM colonne et le RÉSOLU AVEC SUCCÈS
colonne. Étant donné que cette alerte est destinée à détecter lorsqu'un périphérique tente de trouver un serveur de commande et de
contrôle, le RÉSOLU AVEC SUCCÈS La colonne peut indiquer s'il a pu atteindre un serveur.

Étape 4: Fermez cet onglet lorsque vous avez terminé et revenez à la page de l'incident.

Tâche 3 - Analyser l'alerte de découverte


Étape 1: Trouvez la ligne avec NOM DE L'ALERTE de "Connexions échouées" et faites un clic droit dessus pour Analyser il.

Étape 2: Clique sur le (icône d'ampoule) pour en savoir plus sur cette alerte. N'hésitez pas non plus à cliquer
sur les différents nœuds du diagramme.

© 2020 Palo Alto Networks


Confidentiel. Ne pas distribuer.
32
Guide de l'atelier - Dernière mise à jour le 4 juin 2020

Étape 3: Lis le Description de l'alerte puis faites défiler vers le bas et affichez SORTANT CIRCULATION table.
Trier par PROCESSUS CHEMIN colonne et notez le chemin du processus et l'exécutable de nmap.exe
a été automatiquement cousu avec le NGFW journaux. Faites également défiler vers la droite et affichez l'IP DE DESTINATION,
DESTINATION PORT , et ID APP Colonnes. Ces journaux de NGFW montrent que l'hôte analyse le sous-réseau pour les
serveurs SSH (port 22) et les partages de fichiers Windows (ports 139 et 445).

Étape 4: Clique sur le RÉSEAU PRÉVALENCE table et notez que nmap.exe n'est installé que sur deux appareils. Ces
informations sont automatiquement collectées et utiles, car elles peuvent aider à déterminer l'étendue des fichiers malveillants ou
suspects dans votre organisation.

© 2020 Palo Alto Networks


Confidentiel. Ne pas distribuer.
33
Guide de l'atelier - Dernière mise à jour le 4 juin 2020

Remarque: Pour résumer, nous avons enquêté sur un comportement suspect indiquant un appareil nommé
WS-IT-15674 et compte utilisateur de lc-dynamic \ best1_user recherche des périphériques Linux et Windows sur le
réseau 172.16.30.0/24.

Tâche 4 - Analyser les alertes de mouvement latéral


Étape 1: Revenez à l'onglet avec l'incident, puis faites défiler vers le bas ou développez la section Alertes jusqu'à ce que vous voyiez tous les 'Mouvement
latéral' alertes dans le CATÉGORIE champ.

Étape 2: Faites un clic droit sur le ALERTE nommé 'Remote Command Execution' et Analyser il. Effectuez les mêmes étapes et
cliquez sur l'icône Ampoule et lisez le Description de l'alerte . Noter la ID APP
et texte de Au cours des 30 jours précédant cette alerte, cet hôte a effectué une RCE sur 4 jours lequel
indique que XDR Analytics a déterminé que cette activité réseau est rare à partir de WS-IT-15674
machine, et les cibles sont à nouveau des machines POS- *.

© 2020 Palo Alto Networks


Confidentiel. Ne pas distribuer.
34
Guide de l'atelier - Dernière mise à jour le 4 juin 2020

Étape 3. Cliquez sur l'icône nommée wmic.exe puis faites un clic droit pour choisir Afficher les instances de processus . Une fenêtre
de dialogue nommée Process Instances apparaîtra. Si nécessaire, utilisez le «+» pour agrandir la vue.

Étape 4: Ajustez les colonnes dans la boîte de dialogue Instances de processus afin que la colonne CMD complète soit visible.
Cela montrera que wmic a été exécuté plusieurs fois aux adresses IP de
172.16.30.50 - 172.16.30.54 en utilisant un nom d'utilisateur et un mot de passe, avec certaines commandes qui semblent anodines, y compris
une commande pour répertorier tous les processus en cours d'exécution. Cliquez sur le X en haut à droite pour le fermer.

© 2020 Palo Alto Networks


Confidentiel. Ne pas distribuer.
35
Guide de l'atelier - Dernière mise à jour le 4 juin 2020

Étape 5: En option, cliquez sur le icône à nouveau, puis faites défiler vers le bas pour examiner les colonnes
nommé COMMANDER EXÉCUTION , SORTANT CIRCULATION , et RÉSEAU PRÉVALENCE . Fermer la
onglet du navigateur une fois terminé.

Étape 6: Revenez à l'incident et trouvez l'alerte nommée `` Nouveau comportement administratif '' et
Analyser il. Effectuez les mêmes étapes et cliquez sur le Icône de l'ampoule et lisez la description de l'alerte, en particulier Nouveau
comportement ( SSH et Telnet) qui diffère du comportement appris (pas d'opérations administratives). Consultez également les tables nommées
OPÉRATIONS ADMINISTRATIVES DÉTAILLÉES et OPÉRATIONS ADMINISTRATIVES . Voyez-vous quelque chose de suspect? Si tel est le
cas, prenez-en note pour discussion.

Étape 7: Fermez l'onglet précédent lorsque vous avez terminé et revenez à l'onglet du navigateur avec le INCIDENT .
Faites défiler vers la droite et affichez les informations dans PROCESSUS CIBLE CMD colonne. Dans la capture d'écran ci-dessous,
la boîte rouge en haut montre que WMIC a été utilisé pour exécuter la commande procdump sur la machine avec l'adresse IP
172.16.30.50. La boîte rouge en bas montre que schtasks a été utilisé pour créer Tâches planifiées sur les machines dont l'adresse
IP est 172.16.30.51 -
172.16.30.54.

© 2020 Palo Alto Networks


Confidentiel. Ne pas distribuer.
36
Guide de l'atelier - Dernière mise à jour le 4 juin 2020

Étape 8: Faites un clic droit sur la ligne avec le NOM DE L'ALERTE de 'Exécution de processus à distance via WMI' et Analyser il.
Développez le diagramme de manière à voir tous les enfants du cmd.exe nœud.

Étape 9: Cliquez sur chacun des nœuds nommés WMIC.exe et voir les valeurs de CMD dans la barre d'informations. Ceux-ci sont
énumérés ci-dessous. Ces commandes vous semblent-elles familières?
● wmic /node:172.16.30.50 processus appel create "cmd / cc: \ windows \ temp \ procdump -accepteula -ma
lsass.exe lsass.dmp" wmic /node:172.16.30.54 processus appel create "cmd / cc: \ windows \ temp \ procdump
● -accepteula -ma lsass.exe lsass.dmp "wmic /node:172.16.30.53 processus appel create" cmd / cc: \ windows \
temp \ procdump -accepteula -ma lsass.exe lsass.dmp "wmic / node: 172.16.30.51 processus appel create "cmd
● / cc: \ windows \ temp \ procdump -accepteula -ma lsass.exe lsass.dmp" wmic /node:172.16.30.52 processus
appel create "cmd / cc: \ windows \ temp \ procdump - accepteula -ma lsass.exe lsass.dmp "

© 2020 Palo Alto Networks


Confidentiel. Ne pas distribuer.
37
Guide de l'atelier - Dernière mise à jour le 4 juin 2020

Étape 10: Fermez l'onglet du navigateur et revenez à la page INCIDENT. Trouvez la première alerte nommée
Création de tâches planifiées à distance inhabituelles , puis clic-droit et Analyser il.

Étape 11: Dans le nouvel onglet du navigateur qui apparaît, cliquez sur chacune des vues pour icônes, puis lisez et
afficher toutes les informations et liens de la barre d'informations.

Étape 12: Cliquez sur chacun des nœuds étiquetés schtasks.exe puis cliquez sur chacune des tables nommées ALERTE , RÉSEAU , et FICHIER
pour voir s'il y a quelque chose d'intéressant. Voici quelques questions auxquelles vous devriez essayer de répondre:

● Quelles commandes ont été utilisées qui ont déclenché cette alerte, et les commandes sont-elles bénignes ou malveillantes?

● Ces commandes ont-elles été exécutées localement ou à distance? Cela peut être répondu en affichant tous les processus parents.

● Sont-ils censés effectuer une action sur la machine locale ou la machine distante?
● Y a-t-il des BIOC XDR d'information qui méritent d'être signalés? Existe-t-il des BIOC XDR d'information qui représentent la persistance
ou l'escalade de privilèges ou la falsification ou la collecte ou l'accès aux informations d'identification?

Tâche 5 - Examiner les preuves et en savoir plus sur les actions de réponse

Remarque: il y a beaucoup d'informations dans cet incident. N'hésitez pas à revenir en arrière et à refaire certaines des tâches et étapes
ci-dessus. Soyez également prêt pour une discussion sur les étapes de l'enquête dans cet incident.

Étape 1: Examiner les preuves recueillies


● Le nom d'hôte source de cet incident est WS-IT-15674 avec l'adresse IP de 172.16.20.59
● Les noms d'hôte et les adresses IP de destination sont les mêmes que ceux de l'activité 3: POS-5562 (172.16.30.50),
POS-8642 (172.16.30.53), POS-3421 (172.16.30.52), POS-1712 (172.16.30.51), POS-5086 (172.16.30.54)

● Un nom d'utilisateur apparaît dans toute l'enquête: LC-DYNAMIC \ best1_user


● Les outils d'administration Windows sont utilisés et exécutent des commandes très suspectes, y compris WMIC pour
exécuter des commandes à distance et schtasks.exe pour gagner en persévérance.

● Plus important encore, il semble que cet incident soit lié à l'incident de l'activité 3 où procdump a été utilisé pour vider le
contenu de lsass.exe processus, qui est une tentative malveillante de collecte d'informations d'identification d'accès à partir
de la mémoire. Pour rappel, c'est le tabagisme
g w u m n i: c /node:172.16.30.53 processus appel créer "cmd / cc: \ windows \ temp \

procdump -accepteula -ma lsass.exe lsass.dmp"

© 2020 Palo Alto Networks


Confidentiel. Ne pas distribuer.
38
Guide de l'atelier - Dernière mise à jour le 4 juin 2020

Étape 2: Pensez aux actions de réponse à effectuer.


Maintenant que nous comprenons ce qui s'est passé, avons-nous suffisamment d'informations pour répondre à l'incident?

Action de réponse - NE CLIQUEZ SUR AUCUN BOUTON DU SYSTÈME


À ce stade, les machines doivent-elles être isolées du réseau? Et le domaine
compte appartenant à LC-Dynamic \ best1_user?
Si une enquête plus approfondie est nécessaire, l'action Live Terminal permettrait aux analystes de sécurité d'ouvrir une invite de
commande sur la machine Windows, d'examiner les fichiers sur le disque et de les récupérer.
à des fins d'analyse ou exécutez des commandes python sur le point de terminaison.

Étape 3: Êtes-vous d'accord avec les affirmations ci-dessous et les réponses en vert?
● Décidez si l'alerte est True-Positive ou False-Positive: C'est définitivement une alerte True-Positive .

● Comprenez où dans la chaîne d'attaque il a été bloqué: Certaines des commandes peuvent avoir
bloqué sur les machines POS, mais d'autres commandes peuvent avoir réussi et avoir gagné en persistance
grâce à la création de tâches planifiées.
● Comprenez la cause première: Cela ressemble à une tentative délibérée de recueillir des informations d'identification et des
informations sur les machines POS.
● Comprendre si des actions de suivi sont nécessaires: Une enquête plus approfondie est nécessaire sur la machine WS-IT-15674,
ainsi que sur les informations d'identification LC-DYNAMIC \ best1_user.

REMARQUE: À ce stade, nous avons mené une enquête sur deux incidents distincts qui semblaient différents mais qui sont
en réalité liés. Un incident a une GRAVITÉ ÉLEVÉE, tandis que l'autre a une GRAVITÉ MOYENNE. Les prochaines activités
passeront par l'enquête sur le dernier incident de GRAVITÉ Moyenne.

C'est la fin de l'activité 4.


Avant de continuer, fermez tous les onglets du navigateur ouverts pendant cette

activité.

© 2020 Palo Alto Networks


Confidentiel. Ne pas distribuer.
39
Guide de l'atelier - Dernière mise à jour le 4 juin 2020

Activité 5 - Enquêter sur l'incident de gravité moyenne décrit

comme un `` balayage de port ''

Note importante: L'hôte WS-FIN-29345 n'a pas installé l'agent Cortex XDR car il est censé représenter un ordinateur portable non géré sur lequel
l'agent n'est pas installé. Étant donné que le contexte du point de terminaison est manquant, il y aura des lacunes dans les informations sur les
incidents et les alertes ci-dessous. Dans certains environnements, l'utilisation de Pathfinder est une autre option pour collecter le contexte du point
de terminaison, à condition qu'il s'agisse d'un appareil Windows et qu'un compte de domaine ou un compte d'administrateur local puisse se
connecter.

Tâche 1 - Ouvrir et consulter la page d'incident


Étape 1: Trouvez l'onglet du navigateur avec le tableau des incidents. Vous pouvez également revenir au tableau Incidents en sélectionnant
Enquête> Incidents dans la barre de navigation supérieure.

Étape 2: Trouver Incident 184 avec la description «Balayage des ports» . Faites un clic droit n'importe où sur cette ligne et choisissez Voir
l'incident . La page des incidents s'ouvrira dans un nouvel onglet.

© 2020 Palo Alto Networks


Confidentiel. Ne pas distribuer.
40
Guide de l'atelier - Dernière mise à jour le 4 juin 2020

Étape 3: Vérifiez que le Actifs clés montre WS-FIN-29345 sur la droite, et vers le bas, notez qu'il y a 4 alertes
dont la source est XDR Analytics avec des noms d'alertes différents. Triez par la colonne TIMESTAMP et vérifiez
l'ordre des alertes détectées.

Étape 4: Faites un clic droit sur chacune des alertes et sélectionnez Analyser pour les ouvrir dans un nouvel onglet. Nous analyserons
chaque alerte dans les tâches ci-dessous.

Tâche 2 - Analyser l'alerte nommée Échec des connexions (ping)

Étape 1: Cliquez avec le bouton droit de la souris sur l'alerte nommée 'Failed Connections (ping)' et sélectionnez Analyser . Un nouvel onglet
s'ouvrira.

Étape 2: Dans le nouvel onglet, affichez le diagramme et notez le nombre de pings ayant échoué sur le réseau
nommé «Clients-employés» .

Étape 3: En haut à gauche, cliquez sur pour en savoir plus sur l'alerte et lire la description de l'alerte
vers le milieu de l'écran.

Étape 4 : Faites défiler vers le bas et vers la droite pour afficher le TRAFIC SORTANT table. Ce tableau est un résumé des journaux FW qui ont
déclenché cette alerte. le CHEMIN DU PROCESSUS et PROCESSUS CRÉÉ PAR les colonnes du tableau sont vides car Cortex XDR ne
dispose pas encore d'informations sur les points de terminaison de cette machine.

© 2020 Palo Alto Networks


Confidentiel. Ne pas distribuer.
41
Guide de l'atelier - Dernière mise à jour le 4 juin 2020

Étape 5: Regardez les adresses IP dans le IP DE DESTINATION colonne et le ID APP colonne. Sur la base des adresses IP, il
semble que le périphérique WS-FIN-29345 ait effectué un balayage ping du
172.16.20.0/24 sous-réseau.

Étape 6: Lorsque vous avez terminé de consulter ces informations, fermez l'onglet du navigateur.

Tâche 3 - Analyser l'alerte nommée Nouveau comportement administratif

Étape 1: De retour sur la page de l'incident, recherchez l'alerte nommée Nouveau comportement administratif
puis faites un clic droit sur l'un d'eux pour sélectionner Analyser . Un nouvel onglet du navigateur s'ouvre.

Étape 2: Dans le nouvel onglet, visualisez le diagramme et notez le nombre de sessions de WS-FIN-29345
à WS-IT-15674 .

Étape 3: En haut à gauche, cliquez sur le pour en savoir plus sur l'alerte et lire la description de l'alerte
vers le milieu de l'écran. Utilisations de Cortex XDR ID d'application à partir des journaux NGFW pour en savoir plus sur les opérations
administratives des appareils. Pour WS-FIN-29345 , cela signifie que c'est la première fois que l'appareil génère du trafic vers ces
services: SSH, Telnet, Unix RPC, Radmin et VNC.

Étape 4 : Faites défiler vers le bas et regardez le OPÉRATIONS ADMINISTRATIVES DÉTAILLÉES table et le OPÉRATIONS
ADMINISTRATIVES table. Cela montre que le WS-FIN-29345 l'appareil a tenté plusieurs opérations administratives pour WS-IT-15674 .

© 2020 Palo Alto Networks


Confidentiel. Ne pas distribuer.
42
Guide de l'atelier - Dernière mise à jour le 4 juin 2020

Remarque: si les étapes ci-dessous ne chargent aucune nouvelle donnée, informez-en votre instructeur et continuez. Ces écrans
peuvent être présentés par l'instructeur sous forme de démonstration.

Étape 5: Dans le diagramme, cliquez sur l'icône nommée WS-FIN-29345 en apprendre davantage sur
l'appareil source. Faites défiler vers le bas pour afficher les informations profilées sur cet appareil, qui incluent un
résumé des connexions Internet suspectes (non Web) et des connexions depuis et vers l'appareil.

Étape 6: Cliquez sur l'icône nommée WS-IT-15674 pour en savoir plus sur l'appareil cible
et attendez quelques secondes que les tableaux ci-dessous se remplissent. Visualisez les informations dans les tableaux et portez une
attention particulière aux SORTANT INTERNE SESSIONS table et le ID APP colonne. Ce tableau montre que le NGFW a consigné
beaucoup de trafic lié à Microsoft et LDAP depuis
WS-IT-15674 . Notez que vous auriez pu cliquer sur le nœud WS-IT-15674 dans les activités précédentes.

© 2020 Palo Alto Networks


Confidentiel. Ne pas distribuer.
43
Guide de l'atelier - Dernière mise à jour le 4 juin 2020

Étape 7: Fermez l'onglet du navigateur lorsque vous avez terminé et revenez à la Incident page.

Tâche 4 - Analyser l'alerte nommée Exécution de commande à distance

Étape 1: De retour sur la page de l'incident, recherchez l'alerte nommée Exécution de la commande à distance . Faites un clic droit
dessus et sélectionnez Analyser. Un nouvel onglet du navigateur s'ouvre.

Étape 2: Dans le nouvel onglet, visualisez le diagramme et notez le nombre de sessions de WS-FIN-29345
à WS-IT-15674 .

Étape 3: En haut à gauche, cliquez sur le pour en savoir plus sur l'alerte et lire la description de l'alerte
vers le milieu de l'écran. Notez que la description indique «Dans les 30 jours précédant cette alerte, cet hôte n'a pas effectué
de RCE», ce qui signifie que Cortex XDR a créé un profil pour cet hôte et a détecté que l'exécution de la commande à distance
est quelque chose de nouveau sur cet hôte.

Étape 4: À droite, cliquez sur le lien pour en savoir plus. Puis à gauche cliquez sur le
COMMANDER EXÉCUTIONS onglet pour rechercher plus d'informations. Notez que les informations ici sont assez limitées en raison du
contexte de point de terminaison et des informations de point de terminaison manquants.

Tâche 5 - Analyser l'alerte nommée Analyse des ports


Étape 1: De retour sur la page des incidents, recherchez l'alerte nommée Port Analyse puis faites un clic droit dessus pour sélectionner
Analyser. Un nouvel onglet du navigateur s'ouvre.

© 2020 Palo Alto Networks


Confidentiel. Ne pas distribuer.
44
Guide de l'atelier - Dernière mise à jour le 4 juin 2020

Étape 2: Dans le nouvel onglet, affichez le diagramme et notez le nombre de ports utilisés dans le

communication de WS-FIN-29345 à WS-IT-15674 . En haut à gauche, cliquez sur à propos de l'alerte. lire

Étape 3: Faites défiler vers le bas et vérifiez que le TRAFIC SORTANT l'onglet est sélectionné. Affichez la colonne Port de
destination et notez comment le port de destination augmente de un et que chaque connexion échoue avec 0 octet envoyé ou
reçu. Ceci est un exemple évident que
WS-FIN-29345 énumère les ports et services possibles utilisés par le
WS-IT-15674 machine.

Étape 4 : Continuez les étapes d'enquête et cliquez sur les autres tableaux et recherchez toute autre donnée intéressante.

Tâche 6 - Examiner les preuves recueillies et discuter

Étape 1: Examiner les preuves recueillies


● le WS-FIN-29345 l'hôte a effectué un balayage ping pour rechercher d'autres périphériques sur le réseau

© 2020 Palo Alto Networks


Confidentiel. Ne pas distribuer.
45
Guide de l'atelier - Dernière mise à jour le 4 juin 2020

● L'hôte a recherché des partages de fichiers ou d'autres périphériques Windows L'hôte semblait exécuter des commandes
● sur WS-IT-15674 . Pouvez-vous confirmer si ces
commandes étaient les mêmes commandes que nous avons vues dans l'activité et les alertes ci-dessus?

Étape 2: Maintenant que nous comprenons ce qui s'est passé, nous devons réagir à l'incident. Cela sera discuté en classe.

Étape 3: Êtes-vous d'accord avec les affirmations ci-dessous et les réponses en vert?
1. Décidez si l'alerte est Vrai-Positif ou Faux-Positif: Vrai positif. Basé sur
activité suspecte de WS-FIN-29345 à WS-IT-15674, puis aux machines POS, une attaque en plusieurs étapes s'est
produite.
2. Comprenez où dans la chaîne d'attaque il a été bloqué: Rien n'a été bloqué sur le point final car il n'est pas géré
et n'a pas d'agent Cortex en cours d'exécution, et rien n'a été bloqué par le NGFW.

3. Comprenez la cause première: Impossible de déterminer la cause principale, mais nous savons maintenant que l'objectif était de
collecter des informations à partir des machines du point de vente.
4. Comprenez si des actions de suivi sont nécessaires: Étant donné que le compte LC-DYNAMIC \ best1_user a été utilisé
plusieurs fois, le compte doit être désactivé ou l'authentification multifacteur doit être appliquée. Plus d'informations sont
nécessaires sur le WS-FIN-29345.

C'est la fin de l'activité 5.


Avant de continuer, fermez tous les onglets du navigateur ouverts pendant cette

activité.

© 2020 Palo Alto Networks


Confidentiel. Ne pas distribuer.
46
Guide de l'atelier - Dernière mise à jour le 4 juin 2020

Activité 6 - Traquer les menaces liées aux incidents


ci-dessus
Dans les activités précédentes, nous avons déterminé que certains outils Microsoft étaient utilisés à des fins malveillantes. Cela comprenait procdump.exe
, et schtasks.exe . Comme nous avons vu des alertes et des incidents impliquant ces exécutables, cette prochaine activité simulera un
exercice de recherche de menaces pour déterminer si, quand et comment ces outils sont utilisés dans cette entreprise de vente au détail
fictive.

Tâche 1 - Rechercher d'autres utilisations de procdump


Étape 1: Dans n'importe quel onglet de navigateur, en haut, cliquez sur Investigation and Query Builder pour ouvrir l'interface de requête Cortex
XDR.

Étape 2: Cliquez sur Process.

Étape 3: Dans l'interface de requête, sous Processus > Nom collez ce qui suit pour rechercher toutes les occurrences
d'exécution de procdump dans l'environnement:

procdump.exe | procdump64.exe

© 2020 Palo Alto Networks


Confidentiel. Ne pas distribuer.
47
Guide de l'atelier - Dernière mise à jour le 4 juin 2020

Étape 4: Sous le TEMPS section, sélectionnez Douane et modifiez l'heure de recherche pour inclure ou commencer 1er octobre à 17
octobre ( vous pouvez également utiliser la date actuelle comme heure de fin):

Étape 5: En bas à gauche de l'écran, cliquez sur pour exécuter la requête.


Notez que vous pouvez également planifier une requête ou l'exécuter en arrière-plan. Ces options sont utiles dans d'autres situations.

Étape 6: Parcourez les résultats de la requête et trouvez la colonne nommée CIBLE PROCESSUS CMD . Vous remarquerez
qu'il y a des cas où procdump a été exécuté avec des paramètres très suspects:

© 2020 Palo Alto Networks


Confidentiel. Ne pas distribuer.
48
Guide de l'atelier - Dernière mise à jour le 4 juin 2020

Tâche 2 - Rechercher des utilisations d'autres outils avec l'indicateur «-accepteula»

Étape 1: Passez en revue certaines des commandes que nous avons vues ci-dessus, telles que:
c: \ windows \ temp \ procdump - accepteula - ma lsass.exe lsass.dmp wmic /node:172.16.30.53
processus appel create "cmd / cc: \ windows \ temp \ procdump - accepteula - ma lsass.exe lsass.dmp

Notez que le - accepteula flag est commun à tous les deux, et également commun à d'autres outils de débogage
Microsoft.

Étape 2: Créez une nouvelle requête comme vous l'avez fait à l'étape précédente: en haut, cliquez sur
Enquête , puis Générateur de requêtes puis cliquez sur Processus .

Étape 3: Sous PROCESSUS> CMD collez ce qui suit pour rechercher toutes les occurrences de commandes qui utilisent l'indicateur
accepteula. Le symbole astérisque sert de joker, donc le premier *
correspondra à tout ce qui est avant le texte, et le second * correspondra à tout ce qui se trouve après le texte.

* accepteula *

Étape 4: Créez à nouveau une période personnalisée pour qu'elle commence le 1er octobre 2019 et se termine le jour en cours. La requête
ressemblera à la capture d'écran ci-dessous, puis cliquez sur Courir.

© 2020 Palo Alto Networks


Confidentiel. Ne pas distribuer.
49
Guide de l'atelier - Dernière mise à jour le 4 juin 2020

Étape 5: Passez en revue les résultats et soyez prêt à discuter des résultats avec la classe.

Tâche 3 - Rechercher d'autres utilisations de schtasks.exe pour gagner en

persistance

Étape 1: Ouvrir et réviser ID d'incident 244 avec description de ' Nouveau comportement administratif '
avec 11 autres alertes . Regardez ensuite les alertes vers le bas et examinez les alertes avec
NOM DE L'ALERTE de Création de tâches planifiées à distance inhabituelles et LA DESCRIPTION commençant par
La commande 'schtasks' a été exécutée le ... , comme indiqué ci-dessous:

Étape 2: La création de tâches planifiées sur des machines locales ou distantes est un moyen de gagner en persistance, nous chercherons donc
d'autres fois où cette commande a été exécutée. Maintenant, créez une nouvelle requête comme vous l'avez fait à l'étape précédente: en haut,
cliquez sur Enquête , puis Générateur de requêtes puis cliquez sur
Processus .

Étape 3: Sous PROCESSUS > CMD collez ce qui suit pour rechercher toutes les occurrences de commandes qui ont utilisé schtasks . Le
symbole astérisque sert de caractère générique pour correspondre à tout ce qui est avant ou après le schtasks SMS.

© 2020 Palo Alto Networks


Confidentiel. Ne pas distribuer.
50
Guide de l'atelier - Dernière mise à jour le 4 juin 2020

* schtasks *

Étape 4: Créez à nouveau une période personnalisée pour qu'elle démarre 1 octobre 2019 et se termine le jour en cours. La requête
ressemblera à la capture d'écran ci-dessous, puis cliquez sur Courir.

Étape 5: Passez en revue les résultats et soyez prêt à discuter des résultats avec la classe. Avez-vous vu d'autres utilisations malveillantes de
procdump, schtasks ou d'autres commandes avec le paramètre de commande -accepteula? En tant qu'analyste de sécurité travaillant dans une
entreprise de vente au détail avec des machines POS et des lecteurs de cartes de crédit (cc), classeriez-vous les commandes schtasks ci-dessous
comme malveillantes, probablement malveillantes ou complètement inoffensives?

C'est la fin de l'activité 6.

© 2020 Palo Alto Networks


Confidentiel. Ne pas distribuer.
51
Guide de l'atelier - Dernière mise à jour le 4 juin 2020

Avant de continuer, fermez tous les onglets du navigateur ouverts pendant cette

activité.

Activité 7 - Traquer les menaces en fonction des nouvelles de

l'industrie et créer des règles pour s'adapter

Tâche 1 - Lire les actualités et découvrir les menaces possibles

Cette prochaine activité simule un lundi matin typique pour un analyste de sécurité. Supposons que vous veniez travailler le lundi
matin, ouvrez votre site d'actualités préféré et voyez ce titre:

Dans l'article et dans quelques rapports supplémentaires en ligne, vous voyez que les IOC exacts ne peuvent pas être utilisés car la charge
utile est polymorphe et l'IP / domaine est dynamique. Vous savez que:
● Les connexions vont aux domaines * .cn
● Le protocole est FTP natif, il démarrera donc sur les ports 20/21 TCP
● La connexion est établie par le logiciel malveillant lui-même et non par un outil de système d'exploitation intégré, mais sa nature
n'est pas encore révélée
Vous voulez savoir si cela se produit actuellement dans votre réseau et être alerté si c'est le cas.

© 2020 Palo Alto Networks


Confidentiel. Ne pas distribuer.
52
Guide de l'atelier - Dernière mise à jour le 4 juin 2020

Tâche 2 - Créer un BIOC XDR basé sur des modèles de menace

Remarque: Cette tâche peut également être effectuée à l'aide de la création de requêtes comme nous l'avons fait auparavant, mais nous
aimerions créer une alerte, nous utiliserons donc le Ajouter BIOC option.

Étape 1: Revenez à l'onglet de la console principale Cortex XDR, puis cliquez sur le Règle liste déroulante sur

la partie supérieure de l'écran, puis sur BIOC . Cliquer sur Ajouter BIOC sur le
partie supérieure droite de l'écran.

Étape 2: Sélectionner Réseau . Sur l'écran qui apparaît, en haut à gauche, sélectionnez uniquement le

. Puis
Sortant et Échoué types d'opérations. type *. cn pour rechercher tous les domaines se terminant pardans le Hôte
.cn. Dans distant
le port champ
distant écrire 20 |
21 et dans le
Protocole sélectionner TCP . Le tube est utilisé comme opérateur OR et le * comme caractère générique.

© 2020 Palo Alto Networks


Confidentiel. Ne pas distribuer.
53
Guide de l'atelier - Dernière mise à jour le 4 juin 2020

Étape 3: Une fois terminé, cliquez sur Tester dans le coin inférieur droit, il exécutera le
interroger les données existantes dans l'ensemble de données collecté. Après quelques secondes, deux résultats (au moins) seront
renvoyés. Faites défiler vers la droite pour voir plus d'informations sur les connexions. Faites un clic droit sur l'un de celui où se trouve l'hôte
distant staff.ustc.edu.cn , puis cliquez sur Analyser.
En option, vous pouvez utiliser Analyser pour voir le second aussi.

Étape 4: Un nouvel onglet du navigateur s'ouvre. Cliquez sur les nœuds concernés et visualisez les données autour d'eux.

Étape 5: Faites un clic droit sur le cmd.exe nœud, puis sur Afficher le parent. Le diagramme sera mis à jour.

Étape 6: Sur la base des étapes ci-dessus, êtes-vous d'accord avec les affirmations ci-dessous et les réponses en vert?

1. Décidez si l'activité est Vrai-Positif ou Faux-Positif: Il s'agit probablement d'un


Faux-Positif car les connexions FTP ont été effectuées par l'utilisateur via la ligne de commande.

© 2020 Palo Alto Networks


Confidentiel. Ne pas distribuer.
54
Guide de l'atelier - Dernière mise à jour le 4 juin 2020

On voit que dans le diagramme de causalité puisque le processus parent de cmd.exe est
explorer.exe , qui est le processus qui gère la session utilisateur. Comprenez où dans la chaîne d'attaque
2. il a été bloqué: Rien n'a été bloqué sur le terminal. Si vous aviez accès au FW, vous pouvez également le
vérifier.
3. Comprenez la cause première: La cause première était un utilisateur exécutant ftp.exe par la ligne de commande.

4. Comprenez si des actions de suivi sont nécessaires: Étant donné que la connexion FTP se fait par ligne de commande, c'est
une bonne indication (non définitive) que l'utilisateur est conscient ou exécute manuellement cette activité. Ainsi, la connexion
n'est certainement pas liée aux logiciels malveillants. Dans le monde réel, il vaut la peine de confirmer que c'est inoffensif en
parlant à l'utilisateur (qui, pour le bien de l'histoire, a dit qu'il voulait partager des articles avec des professeurs de ces 2
universités).

Tâche 3 - Modifier la requête et créer une règle BIOC

Étape 1: Revenez à l'onglet du navigateur avec les résultats de la requête, puis modifiez-le en cliquant sur le petit
crayon icône à côté de la définition de la requête dans la partie supérieure de l'écran.

Étape 2 : Dans l'interface de requête, cliquez sur le PROCESSUS node pour étendre les options. Dans le type de nom ftp.exe |
telnet.exe et changez l'opérateur en ! =. Cela exclura toutes les options de ligne de commande ftp et telnet des domaines * .cn.

Étape 3: Une fois terminé, testez à nouveau pour voir s'il existe d'autres résultats de requête. Maintenant qu'aucun résultat

sont trouvés, cliquez sur sauvegarder en haut à droite.

Étape 4: Donnez un nom à la règle (par exemple firstname.lastname connexions ftp et telnet avec la Chine ),
choisissez la gravité (Faible ou Moyenne est recommandée). Afficher les options pour TYPE mais pour cet exercice, gardez-le comme Autre et
tapez une description amusante. Une fois terminé, cliquez sur D'accord .

© 2020 Palo Alto Networks


Confidentiel. Ne pas distribuer.
55
Guide de l'atelier - Dernière mise à jour le 4 juin 2020

Remarque: Une fois qu'un BIOC est enregistré, la règle crée une alerte pour toutes les correspondances existantes et futures.

C'est la fin de l'activité 7.


Avant de continuer, fermez tous les onglets du navigateur ouverts pendant cette

activité.

© 2020 Palo Alto Networks


Confidentiel. Ne pas distribuer.
56
Guide de l'atelier - Dernière mise à jour le 4 juin 2020

Activité 8 - Étudiez l'incident de faible gravité décrit


comme `` Liste de cache ARP rare ... ''

Cette activité est facultative. Si le temps le permet, cette activité peut être réalisée sous la forme d'un concours ou d'un exercice d'équipe
rouge, ce qui signifie que nous demandons aux utilisateurs d'enquêter et d'essayer de répondre aux questions par eux-mêmes.

Tâche 1 - Examiner l'incident, analyser les alertes, collecter des preuves

Étape 1: Prenez des notes, puis discutez des preuves recueillies avec la classe

Étape 2: Répondez aux questions ci-dessous en fonction des preuves recueillies

1. Décidez si l'alerte est Vrai-positif ou Faux-positif


2. Comprendre les événements à l'origine de l'alerte et le contexte derrière l'alerte
3. S'il s'agit d'un Vrai positif, déterminez s'il s'agit d'une menace liée à un logiciel malveillant ou à une éventuelle menace interne
4. Comprendre s'il y a des dommages commerciaux
5. S'il y a des dommages à l'entreprise, qu'est-ce qui est affecté?

Tâche 2 - Discussion en classe


Les points à discuter sont ci-dessous:
● Pourquoi un utilisateur exécute-t-il les commandes ARP.exe et IPconfig?
● Y a-t-il eu des connexions réussies au serveur MYSQL?
● Quelles données, le cas échéant, ont été envoyées via FTP?

C'est la fin de l'activité 8.


C'est la fin de la partie pratique.

© 2020 Palo Alto Networks


Confidentiel. Ne pas distribuer.
57

Vous aimerez peut-être aussi