EDR

(Endpoint Detection & Response)

What is an EDR ?

Les EDR sont des solutions modernes de protections pour les Endpoints. Elles permettent la télémétrie entre ces mêmes points de terminaisons équipés d'un EDR avec une instance cloud dédiée qui sera interfacé par une console sécurité pour les opérateurs sécurité chargés de monitorer les endpoints. Les EDR viennent se coupler aux solutions EPP (Endpoint Protection Platform) qui restent cependant plus

EDR Architecture

EDR Framework

Les solutions EDR proposent toutes plus ou moins des paramètres respectant parfaitement chaque briques de cette framework et ont même été conçus de telle manière.

Il est donc idéal de découvrir chaque options proposée dans son contexte.

Identify

L'identification est la pierre angulaire de la sécurité du système d'information sans laquelle il n'est pas possible d'évaluer la qualité d'un asset et du niveau de protection qu'il requiert.

C'est aussi ce qui permet d'établir une stratégie de prévention sur la surface d'attaque découverte (Exposition à internet, Asset non protégés, etc)

Device Discovery

Le Device Discovery est un paramètre utile dont le fonctionnement repose sur le scan de l'activité des Device déjà onboardé par la solution et à terme avoir une idée des Devices n'étant pas supervisé permettant d'avoir une gouvernance qui s'étend au delà des Devices gérés.

Protect

L'EDR étant utilisé en complémentarité d'un EPP. C'est ce dernier qui se charge de la partie protection préventive sur les différents endpoint.

Detect

La détection des EDR fonctionne en principee grâce à 2 éléments fondamentaux qui sont la remontée des logs et les services permettant de les analyser (alert rule, Machine Learning). Il est donc primordial que ces 2 facteurs soient de bonne qualité et bien configuré afin d'avoir une détection optimale et prévenir les risques auxquels l'organisation est exposée.

Les indicateurs permettant de déterminer si la détection est bonne sont donc les suivants :

  • faux positifs / vrais positifs

  • faux négatifs / vrais positifs

Telemetry

La télémétrie étant l'ensemble des données collectées et partagées par le sensor présent sur la machine en temps réel. Elle est donc primordiale dans la détection de comportement malicieux car elle est la matière qui sera exploitée par les modules de détection (Hunting, Machine Learning, IOCs, etc)

e.g. Comparatif de la télémétrie entre les principales solutions MDE sur Windows.

Telemetry Feature Category
Sub-Category
CrowdStrike
Elastic
MDE
Trellix

Process Activity

Process Creation

🟩

🟩

🟩

🟩

****

Process Termination

🟩

🟩

🟩

🟥

****

Process Access

🟩

🟩

🟩

🟩

****

Image/Library Loaded

🟩

🟩

🟩

🟩

****

Remote Thread Creation

🟩

🟩

🟩

🟩

****

Process Tampering Activity

🟩

🟩

🟩

🟩

File Manipulation

File Creation

🟩

🟩

🟩

🟩

****

File Opened

🟧

🟩

🟥

🟩

****

File Deletion

🟩

🟩

🟩

🟩

****

File Modification

🟩

🟩

🟩

🟩

****

File Renaming

🟩

🟩

🟩

🟩

User Account Activity

Local Account Creation

🟩

🟥

🟩

🟩

****

Local Account Modification

🟧

🟥

🟩

🟩

****

Local Account Deletion

🟩

🟥

🟩

🟩

****

Account Login

🟩

🟩

🟩

🟩

****

Account Logoff

🟩

🟩

🟥

🟩

Network Activity

TCP Connection

🟩

🟩

🟩

🟩

****

UDP Connection

🟩

🟩

🟩

🟩

****

URL

🟩

🟧

🟩

🟩

****

DNS Query

🟩

🟩

🟩

🟩

****

File Downloaded

🟩

🟥

🟩

🟥

Hash Algorithms

MD5

🟩

🟩

🟩

🟩

****

SHA

🟩

🟩

🟩

🟩

****

IMPHASH

🟥

🟧

🟥

🟥

Registry Activity

Key/Value Creation

🟧

🟩

🟩

🟩

****

Key/Value Modification

🟧

🟩

🟩

🟩

****

Key/Value Deletion

🟥

🟩

🟩

🟩

Schedule Task Activity

Scheduled Task Creation

🟩

🟥

🟩

🟥

****

Scheduled Task Modification

🟩

🟥

🟩

🟩

****

Scheduled Task Deletion

🟩

🟥

🟩

🟥

Service Activity

Service Creation

🟩

🟥

🪵

🟥

****

Service Modification

🟧

🟥

🟥

🟩

****

Service Deletion

🟥

🟥

🟥

🟥

Driver/Module Activity

Driver Loaded

🟩

🟩

🟩

🟥

****

Driver Modification

🟩

🟥

🟥

🟥

****

Driver Unloaded

🟥

🟥

🟥

🟥

Device Operations

Virtual Disk Mount

🟩

🟥

🟥

🟥

****

USB Device Unmount

🟩

🟥

🟩

🟥

****

USB Device Mount

🟩

🟥

🟩

🟥

Other Relevant Events

Group Policy Modification

🟥

🟥

🟩

🟥

Named Pipe Activity

Pipe Creation

🟥

🟥

🟩

🟥

****

Pipe Connection

🟧

🟥

🟩

🟩

EDR SysOps

Agent Start

🟩

🟥

🟥

****

Agent Stop

🟩

🟩

🟥

****

Agent Install

🟥

🟥

🟥

🟩

****

Agent Uninstall

🟩

🟩

🟥

🟩

****

Agent Tampering

🟩

🟥

🟩

****

Agent Keep-Alive

🟩

🟥

🟥

****

Agent Errors

🟩

🟩

🟩

WMI Activity

WmiEventConsumerToFilter

🟩

🟥

🟩

🟩

****

WmiEventConsumer

🟥

🟥

🟩

🟩

****

WmiEventFilter

🟥

🟥

🟩

🟩

BIT JOBS Activity

BIT JOBS Activity

🟩

🟥

🟥

🟩

PowerShell Activity

Script-Block Activity

🟩

🟥

🟩

🟩

Incident & Alert

Custom detection rules

l'Hunting permet de configurer des requêtes personnalisées à une certaines fréquences (Near Real Time pour certaines solutions) permettant donc de générer des alertes selon les paramètres/indicateurs qui composent la requête.

C'est une capacité que l'on retrouve dans les SIEM mais qui sont ici scopés sur les Device qui sont les entités protégées par les EDR ou alors de quelques autres entités comme l'identité ou les outils de collaboration pour les XDR

Les règles d'hunting s'écrivent dans des langages qui peuvent être spécifiques à chaque solutions (e.g. Microsoft utilise le KQL pour les règle d'hunting)

Tool
Website

Atomic red team (by Redcanary)

https://atomicredteam.io/

Attack IQ

https://www.attackiq.com/

Metasploit (by Rapid7)

https://www.metasploit.com/

Mimikatz

https://github.com/gentilkiwi/mimikatz

Cobalt Strike (by Fortra)

https://www.cobaltstrike.com/

Machine Learning & Cloud Reputation

L'un des avantages non négligeables des EDR, sont le Machine Learning ainsi que la réputation globale de certaines entitées par l'ensemble des clients de l'éditeur.

Cela permet d'être bien moins vulnérable aux 0-day ainsi qu'aux nouveaux malware qui ont déjà pu être analysé ailleurs.

Le machine learning permet aussi d'analyser votre considération à l'égard des alertes qui sont générées automatiquement par l'éditeur.

Comme les administrations n'ont pas la main sur ces alertes elles peuvent ne pas correspondre à tous les environnements et générer des alertes non pertinentes pour une certaine instance. Il est donc primordial de compléter cette base de réputation à grande échelle par une option permettant d'affiner la détection. e.g. vous n'êtes pas d'accord avec le réputation donnée à un fichier, vous classez donc l'alerte et au fil du temps ces actions seront prises en comptes.

Ainsi les SecOps bénéficient tout autant d'une très large base de réputation mais aussi d'une personnalisation propre à leur environnement.

IOCs

Les IOCs permettent suites à leur détection de déclencher un certain comportement comme :

  • Autorisation

  • Audit

  • Blocage & Action de remédiation

SIEM

Il est tout à fait possible et même recommandé de connecter son EDR à sa solution SIEM, pour avoir une meilleure compréhension des alertes ainsi qu'une meilleure capacité d'investigation des logs.

Les solutions EDR sont très souvent facile à connecter aux solutions SIEM par la disponibilité de leurs API.

Detection efficiency

Red Team

La meilleure manière d'évaluer la capacité et qualité de détection de son EDR est la simulation de comportements malicieux qui peuvent être effectué par des Red Team dédiées.

De nombreux outils sont désormais à disposition afin de faciliter et d'améliorer la simulation.

Ce travail peut se faire sur la durée, et c'est d'ailleurs le meilleur moyen de revenir sur la configuration des règles de détection afin de réduire au possible la quantité de faux positifs et de faux négatifs.

Machine Learning

La classification des alertes générées par Machine Learning est très importante dans le cas où elles sont adaptatives au comportement du client.

La qualité de classification peut avoir un impact largement significatif sur la détection comportementale à venir, il est donc important de se renseigner sur les différents types de classification.

Defender alert classification

Investigate

Process tree

Permet d'avoir une idée concise de l'origine de l'attaque, avec la liste des process exécutés.

Timeline

La timeline reporte l'ensemble des event remontés par le sensor ( Telemetry) , ils permettent d'avoir une vue sur l'activité de l'Endpoint en temps réel (+ ou - de délai selon la solution).

Il est intéressant de consulter la timeline pour analyser les event précèdents et ultérieurs au Process Tree dans le cas ou les élèments ne seraient pas suffisant.

Hunting

La grande diversité et quantité d'events que l'on retrouve dans la timeline peuvent noyer l'information recherchée et ne permettent la mise en corrélation avec des élèments annexes.

L'outil est similaire à celui utilisé pour les Custom detection rules, la seule différence est qu'ici l'outil de recherche est utilisé de manière ponctuelle, et non à une fréquence programmée.

Collection package

La collection de package permettent de pousser l'investigation en récupérant un zip contenant des informations variables selon l'OS avec des élèments tels que : Les process, les Autoruns, les programmes installés, les connexions réseau, les Security Event, etc..

Sandbox

Activité d'investigation pouvant s'avérer fastidieuse il est aujourd'hui possible de déleguer cette partie à votre EDR, et concentrer ce temps sur l'analyse comportementale sur sample de fichier.

Live Respone (read-only)

Response

Alert suppression

Device Isolation

Permet de couper toutes les communications du device afin d'éviter la propagation et l'infection du système mais aussi la levée de doute durant l'investigation. Prendre en compte la possible configur

ation du VPN en split tunneling pour éviter de couper la communication avec l'instance cloud de votre EDR et continuer l'investigation & la remédiation depuis votre console sécurité.

Live Response (write)

Refs

Credit
Website / Ref

Tsale

https://github.com/tsale/EDR-Telemetry

NIST

https://www.nist.gov/cyberframework

Microsoft

https://www.microsoft.com/en-us/security/business/endpoint-security/microsoft-defender-endpoint

PreviousSIEM & SOARNextDocumentation References

Last updated