Erfolg mit Threat Response

Schritt 1: Organisatorische Effizienz erzielen

Führen Sie die wichtigsten organisatorischen Governance-Schritte aus, um den Threat Response-Wert zu maximieren. Weitere Informationen zu jeder Aufgabe finden Sie unter Erlangen der organisatorischen Effizienz.

Entwickeln Sie einen dedizierten Change Management-Prozess.

Definieren Sie unterschiedliche Rollen und Verantwortlichkeiten in einem RACI-Diagramm.

Validieren Sie die funktionsübergreifende organisatorische Ausrichtung.

Verfolgen Sie die operativen Metriken nach.

Schritt 2: Tanium-Module installieren

Installieren Sie Tanium Threat Response. Siehe Installieren von Threat Response.

Installieren Sie Tanium Trends. Siehe Tanium Trends Benutzerhandbuch: Installation von Trends.

Installieren Sie Tanium Reputation. Siehe Benutzerhandbuch für Tanium Reputation: Installation von Reputation.

Installieren Sie Tanium Protect. Siehe Tanium Protect Benutzerhandbuch: Installation von Protect.

Installieren Sie Tanium Connect. Siehe Tanium Connect Benutzerhandbuch: Installation von Connect.

Installieren Sie Tanium Direct Connect. Siehe Benutzerhandbuch für Tanium Direct Connect: Installation von Direct Connect.

Installieren Sie Tanium Impact. Siehe Tanium Impact Benutzerhandbuch: Installation von Impact.

Installieren Sie Tanium Client Management, das die Konfiguration von Tanium Endpoint bereitstellt. Siehe Benutzerhandbuch für Tanium Client Management: Installation von Client Management.

Schritt 3: Threat Response konfigurieren

Computergruppen zur Verwendung in Threat-Response-Profilen erstellen. Siehe Benutzerhandbuch für Tanium Console: Erstellen von Computergruppen.

Festlegen der Zugangsdaten für das Dienstkonto.

Import und Konfiguration von Threat Response mit benutzerdefinierten Einstellungen.

Modifizieren Sie die Modulkonfigurationen, um den Einsatzplänen und Anforderungen zu entsprechen Siehe Erstellen von Konfigurationen.

Konfigurieren Sie Quellen für Threat Intelligence. Siehe Hinzufügen von Intel.

• Verbinden mit dem Tanium Signals Feed.

• Einrichten des Reputations-Service.

• Konfigurieren von Informationsquellen.

Importieren Sie Informationsdokumente. Siehe Informationsdokumente erstellen.

Informationsdokumente für die Aufnahme in Konfigurationen der Threat Response mit Label versehen. Siehe Informationen zur Bezeichnung.

Intel-Konfigurationen erstellen. Siehe Intel-Konfigurationen erstellen.

Filter und Ausschlüsse konfigurieren. Siehe Erstellung von Ausschlüssen für Indizierung und Hashing.

Konfigurationen der Engine erstellen. Siehe Konfigurationen der Engine erstellen.

Konfigurationen für Rekorder erstellen. Siehe Konfigurationen für Rekorder erstellen.

Index-Konfigurationen erstellen. Siehe Index-Konfigurationen erstellen.

Profile erstellen. Siehe Erstellen von Profilen.

Schritt 4: Profile bereitstellen

Threat Response Tools und Informationen werden automatisch nach einem Zeitplan bereitgestellt, wenn Sie Profile für Endpunkte bereitstellen. Siehe Ein Profil bereitstellen.

Schritt 5: Live Response konfigurieren

Erstellen Sie Ziele für Live Response. Siehe Sammeln von Daten von Endpunkten.

Sammlungen von Live Response erstellen. Siehe Sammeln von Daten von Endpunkten: Sammlungen.

Erstellen Sie die Live-Response-Pakete. Siehe Sammeln von Daten von Endpunkten: Sammeln von Daten von Endpunkten.

Schritt 6: Konfigurieren von Direct Connect für Live-Verbindungen

Mit Live-Endpunkten verbinden. Siehe Verbinden mit Live-Endpunkten und Erkunden von Daten.

Durchsuchen Sie das Dateisystem nach Endpunkten. Siehe Durchsuchen Sie das Dateisystem nach verbundenen Endpunkten.

Momentaufnahmen sammeln und gespeicherte Beweise herunterladen. Siehe Momentaufnahmen verwalten.

Schritt 7: Connect für Reputationsfragen konfigurieren

Reputationsdaten in Connect konfigurieren. Siehe Einrichten des Reputations-Service.

Schritt 8: Metriken zu Threat Response überwachen

Die aufgezeichneten Daten für Tuning und Leistungsverbesserungen überprüfen.  Siehe Create Filters (Filter erstellen) für weitere Informationen.

Schritt 9: Operative Metriken anhand von Warnungen und Informationen überprüfen und nach Bedarf Feineinstellungen vornehmen

Ändern Sie Signale für die Leistung. Siehe Referenz: Verfassen von Signalen.

Regeln zur Unterdrückung schaffen, um falsch-positive Ergebnisse zu minimieren. Siehe Verwalten von Warnungen.

Schritt 10: Metriken zu Trends überprüfen

Klicken Sie im Menü [Trends (Tendenzen)] auf [Boards (Gruppierungen)] und dann auf Threat Response, um die Gruppierungen Threat Response - Alerts (Threat Response – Alarme) und Threat Response - Deployment (Threat Response – Implementierung) aufzurufen.

Die nächsten Schritte werden zyklisch ausgeführt, wenn die empfohlenen Maßnahmen entweder auf die Suche nach IOC (Gefahrenindikatoren) abzielen oder auf bestehende Ereignisse reagieren.

Schritt 11: Enterprise Hunting Dashboard oder Interact-Fragen verwenden, um Suchvorgänge durch die Umgebung durchzuführen

Identifizierung von Ausreißern oder wichtigen Ereignissen. Siehe Suche im gesamten Unternehmen.

Verwenden Sie Live-Verbindungen oder Live Response, um Beweise zu sammeln und verdächtige Aktivitäten und mögliche Interaktionen mit anderen Systemen zu überprüfen. Siehe Verbinden mit Live-Endpunkten und Erkunden von Daten und Sammeln von Daten von Endpunkten.

Beheben von Endpunkten, um Probleme entweder vollständig zu lösen oder Daten für weitere Untersuchungen aufzubewahren. Siehe Warnungen in Tanium Protect beheben und Initiieren einer Antwortaktion aus einer Warnung.

Ergebnisse aus Übungen zur Bedrohungsnachverfolgung überprüfen.

Schritt 12: Generierte Warnungen aus bereitgestellten Informationen überprüfen

Bestätigen Sie die Gültigkeit einer Warnung.

Verwenden Sie Live-Verbindungen oder Live Response, um Beweise zu sammeln und die Verdächtigkeit von Aktivitäten und mögliche Interaktionen mit anderen Systemen zu überprüfen. Siehe Verbinden mit Live-Endpunkten und Erkunden von Daten und Sammeln von Daten von Endpunkten.

Beheben von Endpunkten, um Probleme entweder vollständig zu lösen oder Daten für weitere Untersuchungen aufzubewahren. Siehe Warnungen in Tanium Protect beheben und Initiieren einer Antwortaktion aus einer Warnung.

Überprüfung der Ergebnisse aus der alarmbasierten Untersuchung. Modifizieren Sie vorhandene Informationen, um die Erkennungstreue zu erhöhen, Ergebnisse in neue Informationen zu kodifizieren, um laufende automatisierte Erkennungen zu ermöglichen, gespeicherte Fragen für zukünftige Suchen zu generieren und konfigurieren Sie Connect, um relevante Daten für SIEM zur laufenden Analyse auszugeben.

Schritt 1: Organisatorische Effizienz erzielen

Führen Sie die wichtigsten organisatorischen Governance-Schritte aus, um den Threat Response-Wert zu maximieren. Weitere Informationen zu jeder Aufgabe finden Sie unter Erlangen der organisatorischen Effizienz.

Entwickeln Sie einen dedizierten Change Management-Prozess.

Definieren Sie unterschiedliche Rollen und Verantwortlichkeiten in einem RACI-Diagramm.

Validieren Sie die funktionsübergreifende organisatorische Ausrichtung.

Verfolgen Sie die operativen Metriken nach.

Schritt 2: Threat Response konfigurieren

Computergruppen zur Verwendung in Threat-Response-Profilen erstellen. Siehe Benutzerhandbuch für Tanium Console: Erstellen von Computergruppen.

Festlegen der Zugangsdaten für das Dienstkonto.

Import und Konfiguration von Threat Response mit benutzerdefinierten Einstellungen.

Modifizieren Sie die Modulkonfigurationen, um den Einsatzplänen und Anforderungen zu entsprechen Siehe Erstellen von Konfigurationen.

Konfigurieren Sie Quellen für Threat Intelligence. Siehe Hinzufügen von Intel.

• Verbinden mit dem Tanium Signals Feed.

• Einrichten des Reputations-Service.

• Konfigurieren von Informationsquellen.

Importieren Sie Informationsdokumente. Siehe Informationsdokumente erstellen.

Informationsdokumente für die Aufnahme in Konfigurationen der Threat Response mit Label versehen. Siehe Informationen zur Bezeichnung.

Intel-Konfigurationen erstellen. Siehe Intel-Konfigurationen erstellen.

Filter und Ausschlüsse konfigurieren. Siehe Erstellung von Ausschlüssen für Indizierung und Hashing.

Konfigurationen der Engine erstellen. Siehe Konfigurationen der Engine erstellen.

Konfigurationen für Rekorder erstellen. Siehe Konfigurationen für Rekorder erstellen.

Index-Konfigurationen erstellen. Siehe Index-Konfigurationen erstellen.

Profile erstellen. Siehe Erstellen von Profilen.

Schritt 3: Profile bereitstellen

Threat Response Tools und Informationen werden automatisch nach einem Zeitplan bereitgestellt, wenn Sie Profile für Endpunkte bereitstellen. Siehe Ein Profil bereitstellen.

Schritt 4: Live Response konfigurieren

Erstellen Sie Ziele für Live Response. Siehe Sammeln von Daten von Endpunkten.

Sammlungen von Live Response erstellen. Siehe Sammeln von Daten von Endpunkten: Sammlungen.

Erstellen Sie die Live-Response-Pakete. Siehe Sammeln von Daten von Endpunkten: Sammeln von Daten von Endpunkten.

Schritt 5: Konfigurieren von Direct Connect für Live-Verbindungen

Mit Live-Endpunkten verbinden. Siehe Verbinden mit Live-Endpunkten und Erkunden von Daten.

Durchsuchen Sie das Dateisystem nach Endpunkten. Siehe Durchsuchen Sie das Dateisystem nach verbundenen Endpunkten.

Momentaufnahmen sammeln und gespeicherte Beweise herunterladen. Siehe Momentaufnahmen verwalten.

Schritt 6: Connect für Reputationsfragen konfigurieren

Reputationsdaten in Connect konfigurieren. Siehe Einrichten des Reputations-Service.

Schritt 7: Metriken zu Threat Response überwachen

Die aufgezeichneten Daten für Tuning und Leistungsverbesserungen überprüfen.  Siehe Create Filters (Filter erstellen) für weitere Informationen.

Schritt 8: Operative Metriken anhand von Warnungen und Informationen überprüfen und nach Bedarf Feineinstellungen vornehmen

Ändern Sie Signale für die Leistung. Siehe Referenz: Verfassen von Signalen.

Regeln zur Unterdrückung schaffen, um falsch-positive Ergebnisse zu minimieren. Siehe Verwalten von Warnungen.

Schritt 9: Metriken zu Trends überprüfen

Klicken Sie im Menü [Trends (Tendenzen)] auf [Boards (Gruppierungen)] und dann auf Threat Response, um die Gruppierungen Threat Response - Alerts (Threat Response – Alarme) und Threat Response - Deployment (Threat Response – Implementierung) aufzurufen.

Die nächsten Schritte werden zyklisch ausgeführt, wenn die empfohlenen Maßnahmen entweder auf die Suche nach IOC (Gefahrenindikatoren) abzielen oder auf bestehende Ereignisse reagieren.

Schritt 10: Verwenden Sie das Enterprise Hunting Dashboard oder Interact-Fragen, um Suchvorgänge durch die Umgebung durchzuführen

Identifizierung von Ausreißern oder wichtigen Ereignissen. Siehe Suche im gesamten Unternehmen.

Verwenden Sie Live-Verbindungen oder Live Response, um Beweise zu sammeln und verdächtige Aktivitäten und mögliche Interaktionen mit anderen Systemen zu überprüfen. Siehe Verbinden mit Live-Endpunkten und Erkunden von Daten und Sammeln von Daten von Endpunkten.

Beheben von Endpunkten, um Probleme entweder vollständig zu lösen oder Daten für weitere Untersuchungen aufzubewahren. Siehe Warnungen in Tanium Protect beheben und Initiieren einer Antwortaktion aus einer Warnung.

Ergebnisse aus Übungen zur Bedrohungsnachverfolgung überprüfen.

Schritt 11: Generierte Warnungen aus bereitgestellten Informationen überprüfen

Bestätigen Sie die Gültigkeit einer Warnung.

Verwenden Sie Live-Verbindungen oder Live Response, um Beweise zu sammeln und die Verdächtigkeit von Aktivitäten und mögliche Interaktionen mit anderen Systemen zu überprüfen. Siehe Verbinden mit Live-Endpunkten und Erkunden von Daten und Sammeln von Daten von Endpunkten.

Beheben von Endpunkten, um Probleme entweder vollständig zu lösen oder Daten für weitere Untersuchungen aufzubewahren. Siehe Warnungen in Tanium Protect beheben und Initiieren einer Antwortaktion aus einer Warnung.

Überprüfung der Ergebnisse aus der alarmbasierten Untersuchung. Modifizieren Sie vorhandene Informationen, um die Erkennungstreue zu erhöhen, Ergebnisse in neue Informationen zu kodifizieren, um laufende automatisierte Erkennungen zu ermöglichen, gespeicherte Fragen für zukünftige Suchen zu generieren und konfigurieren Sie Connect, um relevante Daten für SIEM zur laufenden Analyse auszugeben.