Como funciona a remediação automatizada no CrowdStrike Falcon

A remediação automatizada do CrowdStrike Falcon é uma ferramenta importante para limpar eventuais “resíduos” de ataques bloqueados pela plataforma. Assim, a corporação garante não apenas a detecção e o bloqueio da ameaça, mas também um processo de higienização total de forma segura.

Neste artigo de suporte, nós explicamos mais sobre como funciona a remediação automatizada e como ativá-la.

Principais tópicos deste artigo

Introdução

O CrowdStrike Falcon lida diariamente com ataques sofisticados, que são bloqueados com base em suas características, identificadas pelo que chamamos de “Indicadores de Ataque” (IoA).

Esses ataques, mesmo sendo detectados e interrompidos, podem deixar um rastro de detritos para trás. Isso ocorre porque fases anteriores de táticas, técnicas e procedimentos (TTPs) podem ter sido executadas no host antes que o dano real fosse bloqueado.

Por isso, podem haver ainda processos, arquivos e mecanismos remanescentes, que devem ser eliminados para evitar qualquer tentativa de persistência.

É aí que entra a remediação automatizada do CrowdStrike Falcon, que limpa com segurança os artefatos que podem ter ficado no sistema em diferentes fases do ataque.

Implementação

A remediação automatizada é muito simples de implementar. Basta acessar o painel de Políticas de Prevenção (Prevention Policy) e habilitar a opção “Automated Remediation”. Depois de habilitada, ela trabalhará automaticamente.

Remediação automatizada na prática

Quando ocorre uma atividade suspeita em um host, o CrowdStrike Falcon analisa o seu comportamento. Se o processo for considerado malicioso, a plataforma automaticamente remove os artefatos, mesmo que eles nunca tenham sido vistos antes ou que estejam conectados com o processo apenas pelo fato de terem sido criados por ele.

Ele também eliminará automaticamente os processos associados e reverterá as modificações de registro.

No console do Falcon, podemos ver um indicador de que uma ação de remediação foi realizada.

Uma linha do tempo mostrará todas as ações de remediação que foram executadas. Os detalhes das ações, assim como quaisquer arquivos colocados em quarentena, processos eliminados e valores de registro excluídos, também ficam disponíveis. Além disso, é possível liberar quaisquer arquivos em quarentena.

Uma lista de todas as atividades de remediação em toda a organização também está disponível. Essa é uma informação importante para ajudar a entender melhor quais hosts estão sendo corrigidos e se há alguma etapa adicional que possa ser tomada para evitar violações futuras.

Otimize tempo e recursos com a remediação automatizada da CrowdStrike

A remediação automatizada da CrowdStrike pode economizar tempo e ajudar a proteger a organização removendo automaticamente artefatos deixados por atividades maliciosas. 

Essa abordagem simples ajuda a reduzir os riscos e permite que os analistas se concentrem em tarefas de mais prioridade.

Se você ainda não é cliente CrowdStrike, peça já um free trial!

Ainda não é cliente? Solicite um Free Trial do Falcon

Quer ver na prática como o Falcon atua?

Solicite o seu free trial e ainda receba suporte técnico especializado desde o primeiro contato.