Перевірка роботи McAfee ENS. MVISION Insights SUNBURST.
•
0 gefällt mir•485 views
Як проводити практичну перевірку роботи захисту ENS, та як MVISION Insights може стати у нагоді у світлі атак на FireEye та SolarWinds. На слайдах відображено наступні тести: - OAS AMCore detection - OAS GTI detection - Access Protection - Exploit Prevention - Real Protect (ATP-RP) - Dynamic Application Containment (ATP-DAC) - Credential Theft Protection (ATP-RP-CTP) Усі тести виконані на базі вбудованих правил та сигнатур _без_ використання реального шкідливого коду. #McAfee #MVISION #Insights #SunBurst #SolarWinds #supplychain
Empfohlen
Weitere ähnliche Inhalte
Was ist angesagt?
Was ist angesagt? (20)
Ähnlich wie Перевірка роботи McAfee ENS. MVISION Insights SUNBURST.
Ähnlich wie Перевірка роботи McAfee ENS. MVISION Insights SUNBURST. (20)
Mehr von Vladyslav Radetsky
Mehr von Vladyslav Radetsky (20)
Kürzlich hochgeladen
Kürzlich hochgeladen (20)
Перевірка роботи McAfee ENS. MVISION Insights SUNBURST.
- 1. Перевірка модулів ENS MVISION Insights – робота з IOC 05 / 01 / 21 (доповнено) Владислав Радецький vr@optidata.com.ua
- 2. Працюю у компанії OptiData Аналізую віруси. Пишу статті. Обираю новини для нашої сторінки у Facebook. Проводжу навчання з різних аспектів ІБ Допомагаю з проектуванням, впровадженням та супроводом різних засобів захисту. vr@optidata.com.ua radetskiy.wordpress.com pastebin.com/u/VRad VR #whoami
- 3. 1. MVISION Insights (коротко) 2. Модулі ENS та перевірка їх працездатності 3. Робота з IOC поточних кампаній (FireEye, SolarWinds) План:
- 4. Увага! VSE EOL – 31 / 12 / 2021 KB93335 * У вас залишився рік на міграцію
- 5. • Аналіз спрацювань ENS (телеметрія) • Тріаж атак за критичністю malware кампаній • Розширена аналітика + перевірка захисту (наше попереднє відео) MVISION Insights – аналітика по артефактам/IOC * 662 for August, today is over ~780
- 6. ✓ ENS Platform - GUI ✓ ENS Threat Prevention - OAS, ODS, Access Protection, Exploit Prev. ✓ ENS Firewall - FW ✓ ENS Web Control - Client Web Filtering (IE, Chr, FF, Edge) ✓ ENS ATP - Adaptive (GTI, TIE, ATD, DAC, RP … ) McAfee ENS - модулі
- 7. ✓ ENS Platform - GUI ✓ ENS Threat Prevention - OAS, ODS, Access Protection, Exploit Prev. ✓ ENS Firewall - FW ✓ ENS Web Control - Client Web Filtering (IE, Chr, FF, Edge) ✓ ENS ATP - Adaptive (GTI, TIE, ATD, DAC, RP … ) McAfee ENS - модулі
- 8. • Забезпечує наступний захист: ✓ Dynamic Application Containment [DAC] ✓ Real Protect (cloud / offline) ✓ Передача файлів на McAfee ATD (sandbox) ✓ Відкат змін внесених Ransomware (наше відео про Enhanced Remediation) ✓ Захист облікових даних (LSASS.EXE) * ATP не заміняє політики захисту доступу (AP) та EP ! Функції блоку McAfee ENS ATP
- 9. 1. ENS повинен хоча би 1 раз оновитися (AMCore 0.5 – не варіант) 2. Потрібно оновлювати не лише AMCore але й Exploit Prevention 3. Захист блоку ATP залежить від репутації (TIE / GTI) ! https://kc.mcafee.com/corporate/index?page=content&id=KB93324 Важливо!
- 12. https://kc.mcafee.com/corporate/index?page=content&id=KB93324 Мережеві комунікації ENS для перевірки репутації
- 13. 1. OAS DAT detection – test file (EICAR) or docgen 1, 2, 3 2. OAS GTI detection – test file 3. Access Protection (AP) detection – test method 4. Exploit Prevention (EP) detection – test method 5. Real Protect (ATP RP) detection – test file 6. Dynamic Application Containment (ATP DAC) detection – test 7. ATP RP Credential Theft Protection (RP Beta) – test McAfee ENS – перелік тестів:
- 14. #1 McAfee ENS – OAS DAT detection (EICAR)
- 15. #2 McAfee ENS – OAS GTI detection
- 16. #3 McAfee ENS – Access Protection (AP) detection
- 17. #3 McAfee ENS – Access Protection (AP) detection
- 18. #4 McAfee ENS – Exploit Prevention (EP) detection
- 19. #4 McAfee ENS – Exploit Prevention (EP) detection
- 20. #5 McAfee ENS – Real Protect (ATP RP) detection
- 21. #5 McAfee ENS – Real Protect (ATP RP) detection
- 22. #5 McAfee ENS – Real Protect (ATP RP) detection
- 23. #6 McAfee ENS – Dynamic Application Containment detection
- 24. #6 McAfee ENS – Dynamic Application Containment detection
- 25. #6 McAfee ENS – Dynamic Application Containment detection
- 26. #6 McAfee ENS – Dynamic Application Containment detection
- 27. #6 McAfee ENS – Dynamic Application Containment detection
- 28. #7 McAfee ENS – Credential Theft Protection (Real Protect Beta) https://kc.mcafee.com/corporate/index?page=content&id=KB93231
- 29. #7 McAfee ENS – Credential Theft Protection (Real Protect Beta) https://kc.mcafee.com/corporate/index?page=content&id=KB93231
- 30. #7 McAfee ENS – Credential Theft Protection (Real Protect Beta)
- 31. #7 McAfee ENS – Credential Theft Protection (Real Protect Beta)
- 32. #7 McAfee ENS – Credential Theft Protection (Real Protect Beta)
- 33. SolarWinds supply chain intrusion
- 34. SolarWinds supply chain intrusion
- 35. SolarWinds supply chain intrusion
- 36. SolarWinds supply chain intrusion
- 37. SolarWinds supply chain intrusion
- 38. SolarWinds supply chain intrusion • Втручання у FireEye • Supply Chain через SolarWinds • Жертви: казначейство, держдеп., нац. безпека США та ін. • Затримка реакції – кілька місяців • Великий об'єм IOC
- 39. MVISION Insights – робота з IOC по SunBurst
- 53. 1. https://www.mcafee.com/enterprise/en-us/downloads/security-updates.html 2. https://www.mcafee.com/enterprise/en-us/release-notes/exploit-prevention.html 3. https://www.eicar.org/?page_id=3950 4. https://kc.mcafee.com/corporate/index?page=content&id=KB53733 5. https://kc.mcafee.com/corporate/index?page=content&id=KB88828 McAfee ENS – оновлення + перевірка модулів
- 54. 1. https://kc.mcafee.com/corporate/index?page=content&id=kb51109 2. https://kc.mcafee.com/corporate/index?page=content&id=KB85784 3. https://kc.mcafee.com/corporate/index?page=content&id=KB82450 4. https://kc.mcafee.com/corporate/index?page=content&id=KB91836 5. https://kc.mcafee.com/corporate/index?page=content&id=KB88205 6. https://kc.mcafee.com/corporate/index?page=content&id=KB54812 7. https://kc.mcafee.com/corporate/index?page=content&id=KB87843 McAfee ENS – сумісність + кращі практики
- 55. Дякую вам за увагу! radetskiy.wordpress.com pastebin.com/u/VRad