Real Time Response

RTR é um acesso remoto via linha de comando (CLI) ao endpoint.

The Power and Ease of Use of Real Time Response | Tech Hubcrowdstrike.com

Ou seja:

Você consegue investigar e agir diretamente na máquina sem precisar acessar fisicamente ou via RDP.

Explicando de forma simples

RTR = tipo um:

• SSH (Linux)

• PowerShell remoto (Windows)

Mas integrado ao Falcon e focado em resposta a incidente

O que você pode fazer com RTR

Investigação

• Listar processos → ps

• Ver conexões → netstat

• Navegar arquivos → ls, cd

• Ler arquivos → cat

Resposta (ação direta)

• Matar processo → kill

• Coletar arquivo → get

• Executar script → runscript

• Rodar comando → run

Coleta forense

• Baixar arquivos suspeitos

• Coletar logs

• Analisar artefatos

arquivos baixados vêm zipados com senha “infected”

Onde acessar

Você pode abrir RTR a partir de:

• Host Management

• Detections

• Incidents

• Event Actions

Condição IMPORTANTE

O host precisa estar:

• Online

• Conectado ao Falcon

“Online = powered on and connected to the cloud console”

Comandos básicos

• ps → processos

• netstat → conexões

• ls → listar arquivos

• cd → navegar

• cat → ler arquivo

• kill → matar processo

• get → baixar arquivo

• put → enviar arquivo

• run → executar comando

• runscript → rodar script

O que procurar quando estiver usando RTR

Processos suspeitos

• PowerShell rodando

• Processo desconhecido

• Nome estranho

Conexões ativas

• IP externo desconhecido

• Porta suspeita

Arquivos maliciosos

• Em:

  • AppData

  • Temp

• Executáveis estranhos

Quando usar RTR

Use quando:

• Precisa confirmar atividade no host

• Quer coletar evidência

• Precisa conter ameaça

• Quer validar suspeita do alerta