Решение Fireeye HX позволяет отслеживать вредоносную активность на рабочей станции, для более оперативного реагирование на инциденты информационной безопасности, расследование инцидентов (forensic, слепки памяти и т.п.) и изоляцией зараженной станции, для предотвращения распространения инфекции далее по сети.
После загрузки агента, его необходимо установить на хост. Я установлю вручную, для массовой установки можно использовать механизмы AD и т.п.
Установил, подождал отстук агента на сервер. Он подтаскивает разные метаданные, необходимые для индификации хоста.
Одной из удобных фишек - это создание групп, что позволяет более наглядно рулить парком машин.
И так сказать избранные хосты:
Нашел в интернете семплы малвари, я принялся скачивать их на рабочую станцию, тем самым имитируя заражение системы (фишинг, дроперы и т.п.)
И запустил.
В этот момент FE NX перехватывает бинарники, архивы и прочее из трафика, и параллельно размазывает их по виртуалкам, для динамического анализа кода.
Через консоль, можно наблюдать за внутренними процессами, сколько виртуалок поднялось, что отработало и т.п.
Он же опрашивает агента, который установлен на ПК на наличие индикаторов, которые связывают логически вредный бинарник и станцию, на которой он был запущен, после чего у нас есть развернутая картина того, что прошло в сеть, и где оно сдетонировало.
Через HX можно снять различного рода дампы с зараженной системы, залить из в Redline, и продолжить расследование:
Вообщем, интересная коробка, хорошо подходит для форенсики. Есть хорошим дополнением к волатилити :)
Будем тестить дальше....
Недавно HX попал в нашу лабораторию и я сделал базовые настройки и протестировал отработку связки - CM + NX + HX.
CM - платформа "центрального менеджмента" для остальных устройств, служит так же для обмена индикаторами компрометации (IOC) между всеми устройствами.
NX - предназначен для анализа проходящего через него трафика, на наличие вредоносного кода или аномальной активности.
HX - было упомянуто в самом начале :)
Топологию можно найти в других постах, просто к ней добавилось устройство HX, которое было подключено к CM :
Базовая настройка Fireeye NX EX FX CM basic config
Базовая настройка Fireeye NX EX FX CM basic config
http://devnulls.blogspot.com/2015/04/fireeye-nx-ex-fx-cm-basic-config.html
Тестирование Fireeye EX в режиме MTA + URL Dynamic Analysis / Test Fireeye EX MTA + URLDA
Тестирование Fireeye EX в режиме MTA + URL Dynamic Analysis / Test Fireeye EX MTA + URLDA
http://devnulls.blogspot.com/2015/05/fireeye-ex-mta-url-dynamic-analysis.html
BCC. Postfix / MS Exchange + Fireeye EX
BCC. Postfix / MS Exchange + Fireeye EX
http://devnulls.blogspot.com/2015/07/bcc-postfix.html
Настройка и тестирование Fireeye EX в режиме MTA / Fireeye EX MTA config
Настройка и тестирование Fireeye EX в режиме MTA / Fireeye EX MTA config
После связки, видим на CM подключенный HX, и NX
Сам HX доступен по адресу и порту:
https://192.168.1.106:3000/login/login
Даш выглядит таким образом:
После проверки лицензий, и установки последних обновлений, можно приступить к настройке хостов.
Указываем адрес сервера, для агентов, в моем случае, он один:
Далее можем сбилдить агента, и загрузить его.
Установил, подождал отстук агента на сервер. Он подтаскивает разные метаданные, необходимые для индификации хоста.
Одной из удобных фишек - это создание групп, что позволяет более наглядно рулить парком машин.
Различные способы создание групп :
И так сказать избранные хосты:
Нашел в интернете семплы малвари, я принялся скачивать их на рабочую станцию, тем самым имитируя заражение системы (фишинг, дроперы и т.п.)
И запустил.
В этот момент FE NX перехватывает бинарники, архивы и прочее из трафика, и параллельно размазывает их по виртуалкам, для динамического анализа кода.
Через консоль, можно наблюдать за внутренними процессами, сколько виртуалок поднялось, что отработало и т.п.
Часто-используемые команды:
show object-analysis all
show object-analysis done
show object-analysis running
show object-analysis
show web-incident
show web-analysis
show workorders
show submission
В случае обнаружения вредоноса, NX отправляет данные о семпле CM, который далее передает на HX:
В случае угрозы, можно заблокировать машину, для дальнейшего расследования:
Через HX можно снять различного рода дампы с зараженной системы, залить из в Redline, и продолжить расследование:
Загруженные файлы с HX
Будем тестить дальше....
