Visibilidade de rede aprimorada: atualizações do sensor Falcon macOS

O tão aguardado recurso Enhanced Network Visibility para macOS agora está disponível no sensor versão 7.29 ou posterior. Esse novo recurso fornece insights e visibilidade aprimorada do tráfego de rede que ocorre em endpoints do macOS, criando um modelo mais sofisticado e abrangente de comportamento do processo.

Neste blog, fornecemos uma visão geral detalhada desse novo recurso. Apresentamos a habilitação de detecção e vários aplicativos de caça a ameaças, agora habilitados pela Visibilidade de rede aprimorada para macOS, e nos aprofundamos em novos recursos de rede criados para capacitar caçadores de ameaças e equipes de detecção contra atividades de atores de ameaças.

O que é visibilidade de rede aprimorada?

A visibilidade aprimorada da rede complementa o monitoramento da atividade do processo com atributos derivados do conteúdo do tráfego da rede. Indo além do endereço de rede básico e dos dados de porta, esse monitoramento aprimorado identifica protocolos de aplicativos específicos, analisa características de tráfego TLS (criptografado) e examina atributos de tráfego HTTP em texto simples, enriquecendo ainda mais o conjunto robusto de dados que o sensor Falcon fornece.

Esse recurso aproveita as APIs de filtro de conteúdo nativas da Apple mais recentes para permitir maior visibilidade da rede com o menor impacto possível no desempenho da rede. A API de filtro de conteúdo permite que o sensor intercepte a menor quantidade de dados possível, permitindo que os dados de um fluxo de rede contornem completamente a interceptação assim que o tráfego for identificado. Essa abordagem direcionada oferece vantagens significativas de eficiência em relação aos métodos de inspeção baseados em pacotes, minimizando o impacto do sistema e maximizando os recursos de detecção, sendo ao mesmo tempo um recurso opcional, permitindo aos clientes a escolha de habilitar em seus ambientes

Um dos novos recursos interessantes é a integração da impressão digital JA4 (ref: https://foxio.io/).

JA4 fornece uma representação resumida, ou “assinatura”, dos recursos e configuração de uma biblioteca cliente TLS específica. Esta assinatura é derivada do pacote TLS “client hello”, o primeiro passo para estabelecer uma conexão segura. O JA4 pode ser usado para diferenciar conexões TLS indistinguíveis e pode fornecer evidências de proxy, se um único processo exibir várias assinaturas exclusivas. O JA4 foi projetado pela FoxIO para substituir o JA3, que não é compatível com o reordenamento aleatório da extensão do cliente TLS empregado por navegadores e bots modernos.

Protocolos Suportados

No lançamento, o Enhanced Network Visibility oferecerá suporte à análise de solicitações e respostas HTTP de texto simples e pacotes de saudação do cliente TLS.

Além disso, o recurso identificará o uso de HTTP, TLS, SOCKS4/5, Wireguard, SSH, SMB, VNC, ARD e DNS em qualquer porta de rede, emitindo um evento AppProtocolDetected quando um processo fizer uso de um desses protocolos. A visibilidade do proxy também é suportada.

Novos eventos SIEM de próxima geração do CrowdStrike Falcon

#event_simpleName=HttpRequest

Este evento contém o tipo de solicitação, URL, cabeçalhos e corpo de uma solicitação HTTP de texto simples. Novos pares chave/valor interessantes para este evento são descritos abaixo: