[McAfee]McAfee MAR POC 用户使用指南2019.pdf

McAfee Active Response POC 指南 1 读万卷书 行万里路 迈克菲公司 2019 年 6 月 读万卷书 行万里路 2 McAfee Active Response 介绍 McAfee®Active Response 是威胁检测和响应工具。 它提供有关网络上端点的实时 信息。 每天，针对性和持续的攻击威胁企业网络。 了解网络状况并快速响应安全事 件是关键。 Active Response 是处理这些事件的工具。 通过早期检测可疑活动或通过检测先前攻击的指标，企业 IT 人员可以有效地处理安全 漏洞。 然而，事件响应者和安全管理员通常受时间和资源的限制。 可以从网络端点 收集详细信息，但是该信息需要很长时间来收集和分析。Active Response 提供网络 状态的实时可见性、异常事件的发现、损害指示符的检测以及对感染系统的响应动 作。 McAfee Active Response 能做什么 McAfee Active Response 发现、检测和响应之前不可见的威胁。Active Response 提供端点数据的实时可见性和在端点系统上的即时响应。 开箱即用，Active Response 提供内置的数据收集器，触发器和反应器直接可以使用。 此外，事件响应 者可以轻松地引入特定用途的自定义内容。 这些强大的功能增强了系统管理功能，同 时减少了时间和成本，并且将确保您的组织能够以比以前更高效的方式发现，检测和 响应。 3 读万卷书 行万里路 发现 使用 Active Response 查找事件。 其搜索和数据收集器通过探索数据产生可操作的 信息。 发现网络端点中的弱点 准备计划的保护活动. 识别数据流和模式. 了解要包括在安全策略中的内容。 检测 使用 Active Response 在系统受到攻击时检测威胁。 其触发和反应立即捕获威胁性 事件，并立即做出反应 监控网络以获得您的自定义 IOC 自动捕获已知威胁，并做出相应反应 基于正在处理的数据流来评估数据保护的需求 响应 使用 Active Response 可在检测到威胁时停止威胁。 您可以对受影响的端点立即执 行操作 通过远程作用于端点解决危害事件. 通过对检测到的威胁自动做出反应，尽量减少影响 读万卷书 行万里路 4 构建代码以在被感染的系统上运行 搜 索 部署客户端后，我们就可以开始使用 Active Response。第一个功能是搜索。 McAfee Active Response 从其管理端点实时收集数据。 通过使用数据交换层，可以 实时执行搜索查询，并且可操作的信息将在几秒钟内可用。 在 ePO 中，打开 AR 搜索（菜单，系 1. 统部分） 最简单的 AR 搜索是调用所有主机上 的单一收集器，并返回完整的结果。 在搜索框中键入 “Processes” ，然 2. 后单击 “搜索”。 您应该看到在实验室环境中的系统上 运行的进程列表。 在底部，您将获得有多少系统返回结 3. 果的指示，以及是否存在任何错误。 5 读万卷书 行万里路 使用 “文件”收集器。 使用简单的文 件搜索，您会得到一个错误。 默认情况下 McAfee Active