McAfee Mvision EDR notları

Yazar
Recep ÖZTÜRK
-
0
565
McAfee

Mitre att&ck vektörleri nedir?

Günümüzde tehditlerin taktik, teknik ve prosedür bakımından kategorize eden bir framework’dür.

Örnek birkaç içeriği bu adreslerden inceleyebilirsiniz.

What is Mvision EDR?

  • Mvision Mcafee’nin cloud platformarının ortak adıdır. Bir akronim olarak bakıldığında Multi Vendor InSights and Intelligence Open Environment olarak adlandırılıyor.
  • Mvision EDR vakaları inceleyen siber güvenlik analistleri için bir Investigation Guide (vaka inceleme rehberi) barındırmaktadır.
  • Mvision EDR phishing tehditleri için ek yetenekler barındırıyor.
  • EDR’lar , elbette önleyici bir çözüm olarak değerlendirilmemelidir.

Architecture

  • Mvision EDR hem Mvision ePO ya hem de on-prem ePO’ya bağlanabilir.
  • DXL ihtiyacı sadece on-premise ePO kullanım senaryosunda real time search fonksiyonu için gereklidir.
  • Mvision EDR yüklü olduğu makinadan şüpheli davranış ve uyarıları ortaya çıkarmak için sürekli olarak veri toplar ve bu verilere mitre att&ck vektörlerinde benzerliklerini tespit etmek için analiz uygular.
  • Mvision EDR, iletişim için diğer McAfee ürünleri ile ortak portları kullanır.

Setup and Deployment

  • Mvision EDR birçok SIEM çözümü ile entegre olabilmektedir.
  • Eğer onprem bir ePO üzerinde aktif ediliyorsa, cloud brige ayarları üzerinden konfigurasyonlar çok kolay bir şekilde yapılabilir.
  • Mvision EDR için kullanılan e-posta adresi, aynı zamanda edr üzerinde administrator kullanıcıları belirlemek üzere kullanılır.
  • Mvision EDR için onpremis ePO versiyonun 5.9.1 ve üzeri olması gerekiyor.
  • Onprem ePO senaryosunda uç noktadaki makine ile etkileşim için Mvision Edr paketinin yüklenmiş olması gerekir, sadece ePO sunucu üzerinde extension’ları olması yeterli değildir.

Monitoring

  • Potansiyel tehditleri ciddiyet seviyesine göre veya ilk gerçekleştiği zamana göre incelenebilir ve tehditleri kontrol altına almak için alıncak aksiyonlar tek arayüz üzerinden gerçekleştirilebilir.
  • Tehditleri kökenine inerek takip edebilir ve her bir tehdit için ayrı bir inceleme başlığı başlatabilirsiniz.
  • İzleme ekranlarında, tehdit için gözlemlenen tehdit tekniği ve şüpheli göstergeleri listeler.

Alarms

  • Alarmlar pencesi yüklü uç noktalarda tüm şüpheli işlemlerden oluşan bir liste temin eder.
  • Alarm şüpheli işlemin oluştuğu anda, o process’e ait tüm detayları ile birlikte üretilir.
  • Alarm detayları, gerçekleşen işlemde MITRE tarafından gözlemlenen taktik ve tekniklerle göre sizdeki eşleşmelerini incelemenizi sağlar.

Historical Search

  • Cihazlarda dosya, işlem, dns kaydı, dosya geçmişi, servis değişiklikleri, network değişiklikleri ile birlikte ek birçok başka konuda ek görünürlük ve filtreleme sağlar ve 30 ve 90 günlük opsiyonlarda geriye dönük tarihsel veri tutar.
  • Tehditler öncelikliklendirilirken ve kök neden analizi yapılırken kullanılır.
  • Geçmiş veriler, tehdidin sistemde nasıl meydana geldiğini ve onu neyin tetiklediğini analiz etmeye yardımcı olur.

Real-time Search

  • Real-time search kullanarak cihazlarda çalışma anında çalışan işlemler hakkında bilgi edinme için gerçek zamanlı arama yapabilir.
  • Uç noktalardaki bilgisayalardan bilgi elde edinmek için Search-Query’ler kullanılır.
  • Bu real-time search özelliği McAfee DXL çatısını kullanır.
  • >Auto-runs, >cmd line history, >current flow, >disk partision, >dns cash, >enviroment variable, >files, >host enty, >host info, >Installed certificate, >installed drivers, >installed update, >interactive session, >local group gibi farklı kategorilerde verileri toplamak için her yönetilen cihazda collector denilen bir dizi bileşene sahiptir.
  • Cihazlarda arama sonuclarına aksiyonlar uygulanabilir. Bu aksiyonlar iyileştirme, araştıma ya da kontrol altına alma başlıkları altındaki eylemlerden oluşur.
  • Örnek query aşağıdaki gibidir.

Investigating

  • Investigation guide, duruma/potansiyel tehdite göre bize hangi soruları sormamız gerektiği söyler.
  • Investigation dashboard incelemede olan vaka sayılarının sayısını gösterir.
  • Bir vaka incelemesi bir hipotez oluşturarak başlar.
  • McAfee investigation guide soru kütüphanelerinden oluşur, böylelikle bir vaka incelemsi kolaylaşır.
  • Vakaların soruşturulması, katı ve önceden belirlenmiş prosedürel görevler dizisi değildir.
  • Ortamınızdaki işlemler ve vaka ölçümleri arttıkça, güvende artar.

Catalog

  • Mvision EDR, Mvision edr paketlerinin yüklü cihazlardan anlık verileri toplar. Mvision edr collector leri yönetilen cihazlar üzerinde çalışan komponentlerdir ve arama ifadeleri ile çalıştırıır, bu arama ifadeleri cataloglardan yararlanır.
  • Mcafee Mvision EDR içinde zaten hali hazırda 30 geniş kapsamlı uygulamaya uygun catalog mevcut.
  • Eğer kullanıcı isterse, isteğine göre işletim sistemi komutları, visual basic script, python script ve powershell script çalıştıracak yeni kataloglar oluşturabilir.

Herhangi bir dilek ve önerilerinizi yorum kısmında paylaşabilirsiniz.

CEVAP VER

Lütfen yorumunuzu giriniz!
Lütfen isminizi buraya giriniz