Führen Sie Remote-Sammlungen von Endpunkten sicher durch
Als forensischer Ermittler im Unternehmensumfeld können Sie aus einigen Tools wählen, die Sie in Ihren Ermittlungen unterstützen. Sie haben Legacy-Tools wie EnCase, vielleicht ein Tool speziell für Remote-Erfassungen wie F-Response und vermutlich auch ein anderes Open-Source- oder benutzerdefiniertes Tool zur Hand.
Doch das richtige Tool zu wählen ist wichtig, damit Sie Ihren Job schnell und effizient machen können. Wenn nicht, verschwenden Sie möglicherweise wertvolle Zeit im Kampf mit Ihrer Technologie, anstatt die Bedrohungen und Angriffe, die Sie untersuchen, zu bekämpfen.
Warum es wichtig ist, das richtige Tool zu haben
Betrachten wir ein einfaches Beispiel zur Demonstration, warum das richtige Toolkit wichtig ist.
Vielleicht kommt das folgende Szenario Ihnen etwas zu bekannt vor…
Sie bekommen eine Benachrichtigung von Ihrem SOC-Analysten über eine potentielle bösartige Aktivität, auf einem Endpunkt in einem Ihrer Satellitenbüros auf der anderen Seite der Welt. Sie nehmen das Schlimmste an: unbefugter Netzzugang, ein Angriff mit Malware oder Ransomware, Diebstahl geistigen Eigentums, Daten-Ausschleusung, und immer so weiter... Während Sie diese Liste durchgehen, stöhnen Sie auf, denn Sie wissen:
- Es kommt auf Geschwindigkeit an, und eine Vielzahl von Interessensvertretern — das halbe SOC, die oberste Führung und die IT — wartet darauf, dass Sie die Remote-Erfassung abschließen.
- Mit Ihren derzeitigen Tools (nehmen wir einmal an, es ist EnCase) die Remote-Erfassung tatsächlich durchzuführen, ist eine Herausforderung. Sie sind sich unsicher, ob Sie die Verbindung zu dem Agenten auf dem Ziel-Endpunkt tatsächlich herstellen können, und selbst wenn ist die Wahrscheinlichkeit eines Time-Outs und damit erforderlichen Neustarts der Erfassung sehr hoch, wenn nicht unvermeidbar. Noch dazu müssen Sie hoffen, dass der Ziel-Endpunkt kein Mac ist, denn dann ist die Wahrscheinlichkeit, dass ihr derzeitiges Remote-Erfassungs-Tool funktioniert, noch geringer.
Mit Magnet AXIOM Cyber einen verdeckten Agenten erstellen und die Ermittlung beginnen
Das muss nicht sein…
Stellen Sie sich vor, Sie erhalten dieselbe Benachrichtigung von Ihrem SOC-Analysten, Ihr Adrenalin steigt an, Sie tauchen in Ihr neues Forensik-ToolMagnet AXIOM Cyber ein und erstellen schnell einen verdeckten Agenten, den Sie am Ziel-Endpunkt einsetzen werden.
Sie nennen den Agenten schlauerweise “explorer.exe”, denn Sie wissen, dass der Endbenutzer bei diesem Namen nicht misstrauisch wird und bemerkt, dass eine Remote-Erfassung läuft. Der Agent wird eingesetzt und verbindet sich innerhalb von Sekunden. Sie sind sich sicher, dass die Erfassung problemlos abgeschlossen wird, denn selbst wenn der Endpunkt offline geht, wird Ihre Erfassung pausiert und dann einfach fortgesetzt, wo sie aufgehört hat.
Sie beenden die Erfassung und beginnen dann im selben Tool, AXIOM Cyber, Ihre Ermittlung. Sie finden heraus, dass tatsächlich bösartige Aktivität passiert — der Nutzer hat auf einen Link in einer E-Mail geklickt, die ein Phishing-Angriff war — und berichten Ihrem SOC-Analysten, der dann schnell die Situation behebt und Ihnen dann dieses Giphy über Slack schickt:
Übrigens war der Endpunkt ein Mac, doch Sie mussten sich keine Sorgen machen, denn AXIOM Cyber hat Sie noch nie bei der Erfassung von einem Mac enttäuscht (selbst wenn sie T2-Sicherheitschips haben und SIP aktiviert ist).
Dieses ganze Szenario wird mit Magnet AXIOM Cyber möglich: eine Forensik-Plattform, die Remote-Erfassungen und dann die Analyse und den Bericht durchführt.
Sehen Sie in diesem Video die Remote-Erfassung eines Macs in Aktion:
Bereit Magnet AXIOM Cyber zu testen?Kostenlose Testversion beantragen oder besuchen Siehttps://www.magnetforensics.com/products/magnet-axiom-cyber/ um mehr zu erfahren.
