Mitä ovat VMware Carbon Black Cloud Endpoint Canary -tiedostot
Yhteenveto: Tässä artikkelissa kuvataan Canary-tiedostojen tarkoitus ja sijainti sekä ohjeet, joiden avulla voidaan selvittää, liittyvätkö ne VMware Carbon Black Cloudin hälytykseen. Tiedostot näkyvät satunnaisina merkkeinä ja niissä on Office- tai kuvatiedoston tunniste (.pptx, .doc, .jpg ja .xls). ...
Ohjeet
Tuotteet, joita asia koskee:
- VMware Carbon Black Cloud Endpoint
Ympäristöt, joita tämä koskee:
- Windows
Sisällysluettelo
- Mitä ovat Canary-tiedostot?
- Miten Canary-tiedostoja käytetään?
- Missä Canary-tiedostot sijaitsevat?
- Miksi Canary-tiedostoja ei piiloteta?
- Miten voin selvittää, ovatko Canary-tiedostot vaarantuneet?
Mitä ovat Canary-tiedostot?
Canary-tiedostot ovat neljän tiedoston joukkoja. Niiden tiedostotunniste on .pptx, .doc, .jpg ja .xls. Ne asetetaan tietokoneen aseman eri sijainteihin, kun VMware Carbon Black Cloud Endpoint on asennettu. Ne ovat lisäsuojakeino kiristysohjelmahyökkäyksiä vastaan.
Canary-tiedostot luodaan, kun On Access File Scan Mode on otettu käyttöön asettamalla tilaksi Normal tai Aggressive tai kun Run Background Scan on otettu käyttöön ja suoritustyypiksi on asetettu Standard tai Expedited.
Miten Canary-tiedostoja käytetään?
VMware Carbon Black Cloud Endpoint seuraa Canary-tiedostoja tarkasti. Niissä on tunnettuja hajautusarvoja, joten muutokset on helppo havaita varhaisina varoitusmerkkeinä mahdollisesta kiristysohjelman käytöstä.
Missä Canary-tiedostot sijaitsevat?
Canary-tiedostot tallennetaan useisiin käyttöjärjestelmän sijainteihin.
Kukin sijainti sisältää kahdeksan tiedostoa, joista yksi on kullakin:
- Satunnaisesti nimetty
.PNGtiedosto - Satunnaisesti nimetty
.XLStiedosto - Satunnaisesti nimetty
.DOCtiedosto - Satunnaisesti nimetty
.PPTXtiedosto
Kunkin sijainnin tiedostokoon summa on 269 kt kutakin tiedostojoukkoa kohti.
Alla on esimerkki VMware Carbon Black Cloud Endpointin luomista Canary-tiedostoista:
Miksi Canary-tiedostoja ei piiloteta?
Näiden tiedostojen piilottaminen heikentää niiden tehokkuutta, koska jotkin ransomware-kannat ohittavat tarkoituksella piilotetut tiedostot. Tiedostojen pitäminen näkyvissä parantaa kiristysohjelmien tunnistuksen tehokkuutta.
Miten voin selvittää, ovatko Canary-tiedostot vaarantuneet?
- Siirry selaimessa osoitteeseen [REGION].conferdeploy.net.
Huomautus: [ALUE] = vuokralaisen alue:
- Pohjois- ja Etelä-Amerikka = https://defense-prod05.conferdeploy.net/
- Eurooppa = https://defense-eu.conferdeploy.net/
- Aasia ja Tyynenmeren alue = https://defense-prodnrt.conferdeploy.net/
- Pohjois- ja Etelä-Amerikka = https://defense-prod05.conferdeploy.net/
- Kirjaudu VMware Carbon Black Cloudiin.
- Valitse vasemmanpuoleisessa valikkoruudussa Tutki ja kirjoita
event_description:attempted to modify a User Documenthakuterminä.
- Valitse aikaväli ja napsauta hakupainiketta.
- Valitse haluamallesi tulokselle Process Analysis.
- Suodata tulokset käyttämällä
filemodavainsana.
- Selaa tapahtumia ja etsi Canary-tiedostoihin tehtyjä muutoksia.
Jos haluat ottaa yhteyttä tukeen, katso luettelo Dell Data Securityn kansainvälisen tuen puhelinnumeroista.
TechDirectissä voit luoda teknisen tukipyynnön verkossa.
Lisätietoja ja resursseja on Dell Security Community Forum -keskustelufoorumilla.