Osquery是最强大的威胁狩猎框架之一,现在包含在Emsisoft的EDR解决方案中,作为我们新威胁狩猎面板的第一个组件。 什么是 osquery? Osquery 是用于入侵指标 (IOC) 的开源查询接口,使您能够轻松地查询端点,就好像它们是 SQL 信息数据库一样,这意味着您不再需要单独运行多个系统工具来获取与威胁相关的关键信息。更好的是,使用新的Emsisoft威胁搜索面板,您可以在几秒钟内一次查询网络中的所有设备,从而比以往任何时候都更容易,更快速地识别和消除威胁。 威胁搜寻就是检查端点的活动和更改,这些活动和更改不应该存在。作为安全分析师,您需要将异常情况与平常情况区分开来,并过滤掉日常活动的噪音,以寻找潜在的恶意活动。新的“威胁搜寻”面板可帮助您实现这一目标。 用于搜索 IOC 的预定义威胁搜寻查询 新面板附带了数十个针对威胁搜寻进行了优化的即用型查询,您可以根据自己的要求进行编辑并保存以供频繁使用。 示例 IOC: - 检查哪些网络端口已打开以及哪些进程打开了它们,从而过滤掉常规的 Web 浏览活动。
- 检查是否有任何活动进程已删除其磁盘上的基础 EXE 文件。
- 查看设备的“下载”文件夹中的内容。
- 列出在启动时自动启动的所有程序。
- 查看哪些服务正在运行。
- 检查哪些进程占用了大部分内存。
- 验证所有用户安装的证书和自签名证书。
- 查看所有计划任务。
- 查看Chrome,Firefox和Edge中安装了哪些程序和浏览器扩展程序。
- 检查 DNS 缓存和主机文件中是否有可疑主机。
- 检查 BitLocker、Windows Defender Firewall 和安全中心等系统功能的状态。
- 获取基本的操作系统信息,包括内部版本、安装的修补程序、正常运行时间等。
查询在所有在线设备上实时执行,结果在几秒钟内显示。 可用性新的威胁搜寻功能仅适用于Emsisoft Enterprise Security用户。 注意:如果您是 Anti-Malware Home、Business Security 或旧版 Emsisoft Anti-Malware 版本的用户,并且想要使用新的威胁搜寻功能,请考虑升级到 Emsisoft Enterprise Security 许可证计划。查看工作区中的“设置”面板,了解可用的升级选项,或与我们的支持团队联系。 简而言之,所有 2022.5 改进设备保护(桌面)管理控制台(网络应用)- 新的 EDR 威胁搜寻面板。
- 改进了部署对话框,添加了对 CMD 和 PowerShell v5/v7 的支持。
- 一些小的调整和修复。
| 
发表于 2022-5-5 22:55:33
