AutoFocus já permite detectar a nova ameaça Petya ransomware

O AutoFocus, da Palo Alto Networks, permite que você distinga as ameaças mais importantes dos ataques diários comuns.  Agora, em vez de apenas perceber que ocorreu um evento mal-intencionado, você o identifica imediatamente e conhece o contexto em torno do ataque, como a família de malwares, a campanha ou o agente malicioso assediando sua organização. Quando identificado, o AutoFocus irá alertar sua equipe de segurança sobre eventos de alta prioridade, permitindo que você tome medidas rápidas para mitigar seu impacto.

Veja abaixo um passo-a-passo sobre como usar o poder da plataforma AutoFocus nas investigações do Petya.

   1. Clique NESTE LINK  para visualizar a tag do Petya na plataforma;

   2. Adicione a tag à procura para buscar “samples” (trecho de código de malware) vistos no seu ambiente, ou “samples” vistos em outro usuário de Firewall Palo Alto que tornou público o mesmo:

   3. Os resultados encontrados, dentro do seu ambiente ou no escopo global (“samples” públicos), podem ser explorados em busca de dados importantes, como sessões relacionadas ao download/upload dessa ameaça dentro da rede, bem como cobertura (assinaturas) que protegem contra essa ameaça;

   4. Para descobrir a cobertura de defesas para diversas ameaças, basta clicar em um dos “samples” encontrados e clicar em “Coverage”;

 

AutoFocus já permite detectar a nova ameaça Petya

 

(Observe que mesmo “samples” encontrados hoje são identificados com assinaturas de meses atrás)

Por exemplo, se quisesse buscar pelos logs de sessão que movimentaram a ameaça para dentro do seu ambiente através do mecanismo de busca remota, faria da seguinte forma:

   5. Ao clicar em “Remote Search”, selecione o(s) seu(s) firewall(s) previamente cadastrado (s) no portal do AutoFocus.

AutoFocus já permite detectar a nova ameaça Petya

Nos resultados da busca, é possível determinar a aplicação que possibilitou a invasão, bem como o remetente e destinatário (caso SMTP/POP3) e as informações do Wildfire que também são vistas nos detalhes do “sample” encontrado:

AutoFocus já permite detectar a nova ameaça Petya

 

AutoFocus já permite detectar a nova ameaça Petya

E vice-versa, se durante as investigações no Firewall forem encontrados indicadores interessantes (IP, DNS, URL, Arquivos) e desejar obter mais informações contextuais sobre ele, basta passar o mouse por cima do indicador, clicar na seta de detalhes do indicador e selecionar o botão autofocus;

AutoFocus já permite detectar a nova ameaça Petya

6. Esse contexto permite enriquecer a investigação, priorizar (ou não) a resposta ao incidente, bem como continuar buscando por detalhes no AutoFocus, através do link de busca;

AutoFocus já permite detectar a nova ameaça Petya

Essa ameaça, associada à entrega do malware, pode ser por onde tudo começou, ou seja, através de uma exploração de vulnerabilidade.

Clique aqui para saber mais sobre o Petya ransomware attack 

Quer uma solução de segurança como esta? Entre em contato conosco!

Deixe um comentário

O seu endereço de e-mail não será publicado.

Enviar mensagem
Fale com o nosso especialista
Olá, como podemos ajudar?