רשימת ביצוע והכלה: זיכוי וניקוי מחשבים לאחר חשד לאירוע אבטחה
שים לב: הסקריפט חייב להיות בתיקיית ההורדות (Downloads) של המשתמש בעמדה.
Downloads
לחץ כאן להורדת הסקריפט (Phishing-Endpoint-Triage-v8.ps1)
הסקריפט יוצר אוטומטית תיקייה בשולחן העבודה של המשתמש. יש להעתיק את הדוח שנוצר ולשמור אותו מתועד בתיקייה אצלנו.
powershell.exe -NoProfile -ExecutionPolicy Bypass -File "$env:USERPROFILE\Downloads\Phishing-Endpoint-Triage-v8.ps1" -DaysBack 7 -GeoLookup
הרצת סקריפט Triage, העתקת הדוח משולחן העבודה ושמירת הלוגים אצלנו
זיהוי ותיעוד פרטי עמדה (שם מחשב, משתמש, IP, תאריך ושעה)
מעבר על חריגים בלוגים (Firewall / EDR / SIEM)
בדיקת משתמשים מקומיים חריגים (כגון moses, admin)
הסרת תוכנות שליטה מרחוק לא מאושרות (AnyDesk, TeamViewer וכו')
בדיקת משימות מתוזמנות (Scheduled Tasks) חשודות
בדיקת חיבורים חריגים לאתרים/כתובות IP חסומות
לא קיים חשד - ניתן לסגור דוח (יש לוודא הגנות כגון Sentinel ו-Ninja)
קיים חשד - יש לעבור לשלב ג' (לטיפול במחשב ובחשבון המשתמש)
החלפת סיסמה למשתמש (AD / Entra)
הגדרת אימות דו-שלבי (MFA) למייל
סגירת סשנים פעילים (Revoke Sessions)
בדיקת Forwarding (העברת דואר) אם קיים
בדיקה שאין חוקי תיבה חשודים (Inbox Rules) והרשאות חריגות (Delegation)
בדיקת לוגים כניסות לתיבה
ייצוא סיסמאות מ-Chrome והנחיית המשתמש להחלפתן
בדיקת הרשאות גישה של אפליקציות צד ג' (OAuth)
עדכון המשתמש שלא להשתמש בסיסמה שדלפה או דומה לה
במקרה הצורך: ניתוק המחשב מהרשת, הוצאת דיסק והתקנת מערכת על דיסק חדש
פתיחת קריאה ללקוח על הפעלת הפרוטוקול