Pytanie  |
Odpowiedź |
Bezpieczeństwo urządzeń końcowych rozpocznij naukę
|
|
urządzenia końcowe są głównym celem ataków zawierają cenne dane i stanowią punkt dostępu do sieci firmowej. Praca zdalna zwiększa ryzyko a atak na jedno urządzenie może zagrozić całej firmie. Kluczowe zabezpieczenia to VPN i MFA, aktualizacje i edukacja
|
|
|
|
rozpocznij naukę
|
|
MFA to dodatkowa warstwa zabezpieczeń wymagająca więcej niż jednej metody uwierzytelniania. Standardowe hasło nie wystarczy, trzeba jeszcze potwierdzić np: hasło+kod SMS hasło+odcisk palca hasło+klucz bezpieczeństwa
|
|
|
Najważniejsze obszary ochrony Endpointów rozpocznij naukę
|
|
Oprogramowanie zabezpieczeń AV EDR szyfr Aktualizacje Świadomość userów Ograniczanie dostępu do danych MFA i RBAC Monitoring i szybka reakcja Backupy i odzyskiwanie danych Audyty i testy penetracyjne
|
|
|
|
rozpocznij naukę
|
|
Endpoint detection and response monitoruje aktywność urządzeń końcowych w czasie rzeczywistym wykrywa podejrzane zachowania i automatycznie reaguje na zagrożenia np blokując ataki lub izolując zainfekowany system
|
|
|
|
rozpocznij naukę
|
|
Role based access control System kontroli dostępu, który nadaje userom uprawnienia w oparciu o ich rolę w organizacji np księgowa do faktur a nie do kodu źródłowego firmy
|
|
|
|
rozpocznij naukę
|
|
Symulowane ataki na systemy IT organizacji, wykonywane przez etycznych hakerów (pentesterów) którzy sprawdzają czy można przełamać zabezpieczenia i wskazują słabe punkty do poprawy
|
|
|
|
rozpocznij naukę
|
|
Threat intelligence to zbiór info o zagrożeniach, które mogą wystąpić w sieci, obejmujący dane o atakujących, ich TTP. Zbieranie i analiza tych danych pozwala organizacjom przygotować się na potencjalne ataki. i identyfikować zagrożenie
|
|
|
|
rozpocznij naukę
|
|
aktywne poszukiwanie zagrożeń w systemach zanim dojdzie do incydentu. Proces manualny oparty na analizie danych z systemów w celu identyfikacji nowych nieznanych zagrożeń które mogą umknąć tradycyjnym systemom wykrywania
|
|
|
|
rozpocznij naukę
|
|
SIEM security information and event management to platforma, może np łączyć się z EDR, zbiera i analizuje dane z organizacji, pozwala wykrywać zagrożenia teraz analizuje dane generuje alerty umożliwia szybkie reaf kluczowe narzędzie organizacji
|
|
|
Podstawowe procesy systemu Windows rozpocznij naukę
|
|
System IDLE info bezczynność CPU SYSTEM zarządzanie operacjami SERVICE EXE serwisy systemu WINIT EXE on podczas startu EXPLORER EXE interfejs graficzny LSASS EXE polityki bezpieczeństwa SVCHOST EXE uruchamia setwisy SPOOLSV od print WINLOGON za logowanie
|
|
|
|
rozpocznij naukę
|
|
zestaw narzędzi od Microsoft. zaawan do rozwiązywaniu problemów i analizy systemu EXPLORER rozszerzenie Task menager AUTORUNS pozwala usuwać zbędne procesy, wydajność MONITOR monitoring teraz TCP VIEV show TCP UDP DISK2VHD ACCESCHK SIGHHEC PSEXEC komendy
|
|
|
|
rozpocznij naukę
|
|
Sysmon to część z Sysinternals do monitorowania systemu Windows celem detekcji zagrożeń i siedzenia aktywności. podobny do EDR trochę. LOGOWANIE ZDARZEŃ SZCZEGÓŁOWE INFO IoCs Threat hunting Dostosowanie do potrzeb organizacji Integracja z SIEM
|
|
|
|
rozpocznij naukę
|
|
system do rejestrowania i przech info o zdarzeniach w Windows. Pozwala śledzić działania w systemie pojęcia: struktura logów ID i kategorie zdarzeń poziomowanie zdarzeń monitoring i analiza przetrzymywanie logów
|
|
|
