告警說明:以演算法關聯並發現可能造成影響的資料加密
處置建議:查看Highlights是否出現偵測到到勒索病毒(Ransomware)相關事件,萬一有,請確認actResult欄位內容,如果欄位內容是File cleaned,代表勒索病毒已經被擋下。
處置建議:查看Highlights是否出現偵測到到勒索病毒(Ransomware)相關事件,萬一有,請確認actResult欄位內容,如果欄位內容是File cleaned,代表勒索病毒已經被擋下。
告警說明:偵測到勒索病毒 (即時掃描) -- 當防毒端點的即時掃瞄偵測到勒索病毒(Ransomware),代表病毒進到系統(下載或解壓縮)就立刻被發現。
處置建議:請確認actResult欄位內容,如果欄位內容是File cleaned,代表勒索病毒已經被擋下。
處置建議:請確認actResult欄位內容,如果欄位內容是File cleaned,代表勒索病毒已經被擋下。
告警說明:偵測到勒索病毒行為 -- 當防毒端點的行為監控模組偵測到勒索病毒(Ransomware),這表示有某個程式正在試圖加密檔案或執行其他類似勒索軟體的行為。
處置建議:請確認act欄位內容,如果欄位內容是Terminate,代表勒索病毒加密行為已經被擋下。
處置建議:請確認act欄位內容,如果欄位內容是Terminate,代表勒索病毒加密行為已經被擋下。
告警說明:新增帳號到網域管理者群組 (Net指令) -- 如果不是網管人員使用Net指令新增帳號到網域管理者群組,這可能是未經授權的存取或內部威脅的跡象。
處置建議:查看parentCmd指令中,觀察其中的路徑和檔案,是否出現環境內正在使用的服務名稱。如果有,請忽略此告警事件。
確認Impact scope的User Account,如果是管理者帳號,請向該管理者確認事件時間點是否執行該任務。如果是,請忽略此告警事件。
如果上述兩個判斷都確定該程式不屬於環境使用,且不是管理者的操作行為,請繼續以下確認:
如果User Account看到「nt authority\system」,請協助提供以下資訊並聯繫技術客服單位以利協助您進一步釐清細節。
從objectCmd指令中,最後的參數單字,例如:net group /add "Domain Admins" AAA,則在網域管理者群組中看看有沒有出現AAA帳號。
處置建議:查看parentCmd指令中,觀察其中的路徑和檔案,是否出現環境內正在使用的服務名稱。如果有,請忽略此告警事件。
確認Impact scope的User Account,如果是管理者帳號,請向該管理者確認事件時間點是否執行該任務。如果是,請忽略此告警事件。
如果上述兩個判斷都確定該程式不屬於環境使用,且不是管理者的操作行為,請繼續以下確認:
如果User Account看到「nt authority\system」,請協助提供以下資訊並聯繫技術客服單位以利協助您進一步釐清細節。
從objectCmd指令中,最後的參數單字,例如:net group /add "Domain Admins" AAA,則在網域管理者群組中看看有沒有出現AAA帳號。
告警說明:APT病毒 -- 端點上偵測的病毒檔案和已知的APT組織有關,代表可能出現有組織化的攻擊,時間可能已經長達數個月或數年。
處置建議:請確認actResult欄位內容,如果是File cleaned,代表勒索病毒已經被擋下。除此之外,建議進行IR調查或聯繫業務取得相關支援。
處置建議:請確認actResult欄位內容,如果是File cleaned,代表勒索病毒已經被擋下。除此之外,建議進行IR調查或聯繫業務取得相關支援。
告警說明:疑似透過Net.exe指令建立網域帳號 -- 如果不是網管人員使用Net指令新增帳號到網域管理者群組,這可能是未經授權的存取或內部威脅的跡象。
處置建議:查看parentCmd指令中,觀察其中的路徑和檔案,是否出現環境內正在使用的服務名稱。如果有,請忽略此告警事件。
確認Impact scope的User Account,如果是管理者帳號,請向該管理者確認事件時間點是否執行該任務。如果是,請忽略此告警事件。
如果上述兩個判斷都確定該程式不屬於環境使用,且不是管理者的操作行為,請繼續以下確認:
如果User Account看到「nt authority\system」,請協助提供以下資訊並聯繫技術客服單位以利協助您進一步釐清細節。
從objectCmd指令中,最後的參數單字,例如:net user /add /domain AAA 1234,則在AAA群組中看看有沒有出現1234帳號。
處置建議:查看parentCmd指令中,觀察其中的路徑和檔案,是否出現環境內正在使用的服務名稱。如果有,請忽略此告警事件。
確認Impact scope的User Account,如果是管理者帳號,請向該管理者確認事件時間點是否執行該任務。如果是,請忽略此告警事件。
如果上述兩個判斷都確定該程式不屬於環境使用,且不是管理者的操作行為,請繼續以下確認:
如果User Account看到「nt authority\system」,請協助提供以下資訊並聯繫技術客服單位以利協助您進一步釐清細節。
從objectCmd指令中,最後的參數單字,例如:net user /add /domain AAA 1234,則在AAA群組中看看有沒有出現1234帳號。
告警說明:疑似對預設系統管理者設定密碼 -- 發現嘗試修改預設系統管理者(Administrator)的密碼,如果這不是系統管理者的操作行為,那麼就可能是惡意使用者嘗試獲得更高權限或維持系統存取的跡象。
處置建議:TBD
處置建議:TBD
告警說明:以演算法關聯並疑似提取作業系統登入資訊 -- 偵測到可能的作業系統登入資訊(如:使用者名稱和密碼)提取技術,如果這不是信任的程式運作行為,那麼就代表有人試圖竊取帳密。這提取技術和密碼複雜度沒有直接關係,密碼長度與複雜度和惡意使用者破解時間成正比。萬一不是管理者行為,且發生在網域控制站(DC, Domain Controller),建議重新建立安全區,並在其中重新建立網域。
處置建議:TBD
處置建議:TBD
告警說明:透過Powershell進行螢幕截圖和鍵盤側錄 -- 偵測到可能使用Powershell進行的螢幕截圖或鍵盤側錄,這可能會導致重要機敏資料外洩。
處置建議:TBD
處置建議:TBD
告警說明:以演算法關聯並發現可疑的自動啟動執行項目 -- 發現可疑的開機或登入自動啟動執行的項目,如果這不是自行開發的程式或是信任的程式,這可能意味著可疑樣本嘗試利用下次系統啟動時自動執行。
處置建議:TBD
處置建議:TBD
告警說明:在可疑的資料夾發現CMD -- 作業系統預設cmd.exe在Windows資料夾中,當它出現在其他資料夾,這可能是為了隱藏惡意活動或者是為了在不引起注意的情況下執行惡意指令。
處置建議:TBD
處置建議:TBD
告警說明:示範項目 -- 透過登錄編輯器提取登入資訊 -- 使用者透過登錄編輯器匯出系統的登入資訊,這通常是PoC過程會用來展示或驗證偵測效果的方式。
處置建議:無需處理。
處置建議:無需處理。
告警說明:以演算法關聯並發現系統檔案被利用來執行攻擊 -- 攻擊者利用作業系統內建的程式執行惡意操作,用以規避防毒軟體偵測及數位簽章檢查,讓惡意活動看起來像是系統正常操作行為。如果這不是自行開發的程式或是信任的程式的關聯行為,這可能是一種攻擊跡象。
處置建議:TBD
處置建議:TBD
告警說明:疑似安全防護軟體被停用 -- 發現安全防護軟體的設定或檔案被修改,如果這不是資訊管理人員的設定行為,可能會是被用來攻擊的其中一個階段。
處置建議:TBD
處置建議:TBD
告警說明:以演算法關聯並發現可能利用遠端服務 -- 偵測到可能利用遠端服務的行為,如果這不是資訊管理人員的操作行為,可能會是攻擊行為的其中一個階段。
處置建議:TBD
處置建議:TBD
告警說明:疑似透過CVE-2022-0847弱點覆蓋檔案屬性 -- 偵測到疑似利用Dirty Pipe漏洞的方式讓沒有權限的使用者能夠改寫唯讀屬性的檔案。
處置建議:TBD
處置建議:TBD