m
А откуда уверенность что что-то другое сработает? Я без наездов,моя непонимать
Size: a a a
2021 October 16
BB
Так в задаче, которую Денис поставил, сказано, что файл пришел по поп3 и песочка сработала
AL
Если ты посмотришь запись вебинара Demisto "When Shrinkage is Good - WannaCry Response Playbook", то там будет ответ на твой вопрос
B
👍
m
Песочка сработала,да.А файл пришел на камплюхтир и пользователь его запустил.Это же параллельные процессы в данном случае,не?
Z
А как вы реагируете когда файл запалился на песочнице и не дошёл до пользователя?
B
Это разные моменты времени обычно. Сначала файл как-то существует, и только потом до песочницы или до UEBA или до Deception доходит- о, так он наносит вред. И тут задача быстро обнаружить что уже повреждено и как это сдержать
BB
Если в bcc, то параллельные. Если в потоке, то нет. Pop3 в bcc я не видел. Может, излишне буквально вопрос воспринял 🤷🏼
B
BCC это функция протокола SMTP конечно же
m
Я правильно понимаю,что в данной ситуации,письмо приходит получателю только после обработки на песочнице?
B
Наоборот. По POP3 нет возможности задержать письмо. Сначала файл приходит сотруднику. И в песочницу этот файл отправляет либо хостовой EDR, либо NGFW, в котором есть парсер, который выковыривает файлы из потока.
m
Я как раз понял именно ситуация в том что сработка постфактум произошла на песочнице,после попадания к сотруднику
B
Да.
m
Тогда по факту никакой информации больше может и не быть.И тут надо трясти пользователя/смотреть логи в поисках информации запустил или нет этот файл а если да,что он сделал дальше
m
Как я понимаю такое скорее не бывает
B
Да, это и усложняет задачу.
Z
Ну я же не зря спросил;)
B
Я тоже люблю идеальный мир, когда новые вредоносы никогда не доходят до сотрудников. ))
m
Ну в теории конечно можно посмотреть на письмо, проверит другими сервисами на фолс,проверить было ли что то подобное,но где не отработала песочница,забанить отправителя, прислать тому кому оно предназначалось оповещение "вам пытались отправить вредоносную гадость от почты yaneloh@yandex.ru будет осторожны и если считаете что это может быть ложное срабатывание сообщите в отдел ИБ .Но по факту я думаю этим вряд-ли будут заниматься :-)
B
Обычно это делает SOAR. Там есть такие плейбуки.