image.png
隔离文件沙箱检测的结果通过API返回到工单系统后,根据结果来进行下一步的操作,沙箱检测可能会占据一定量的时间片,从文件传输落地到文件检测结束,中间可能存在一定的DWELL时间(从失陷到检出时长),所以如果该结果为恶意,那么最佳实践操作就是对该主机实施隔离操作,并重置该账号密码。
image.png
处置既然检测出来是恶意攻击行为,再隔离主机后,我们就要开始着手进行相关溯源工作,确定该事件的类型,形态,甚至引入到特定的蜜罐进行调查工作。特别需要强调的是,由于SYSMON的版本更新,SYSMON具备了一个非常强大的功能,即,能对文件的写入和执行进行拦截,我们可以利用这点对伪造文件实施阻拦策略,禁止文件落地。
image.png
而针对压缩包文件,或者说用户习惯性的双击执行压缩包中的可执行文件,这点,我们可以通过组策略来进行限制,具体操作方法请参考我其他文章,这里也不再赘述了。
image.png
恢复恢复环节已经是处于工单的闭环环节,在清查完毕持久化后就可以交付主机给回用户了。