CISO PORTAL

רשימת ביצוע והכלה: זיכוי וניקוי מחשבים לאחר חשד לאירוע אבטחה

פרטי מזהה וארגון

שלב א': זיהוי, איסוף ממצאים ובדיקות תחנה (Endpoint)

שים לב: הסקריפט חייב להיות בתיקיית ההורדות (Downloads) של המשתמש בעמדה.

לחץ כאן להורדת הסקריפט (Phishing-Endpoint-Triage-v8.ps1)

הסקריפט יוצר אוטומטית תיקייה בשולחן העבודה של המשתמש. יש להעתיק את הדוח שנוצר ולשמור אותו מתועד בתיקייה אצלנו.

פקודת Triage להרצה בתחנה:
powershell.exe -NoProfile -ExecutionPolicy Bypass -File "$env:USERPROFILE\Downloads\Phishing-Endpoint-Triage-v8.ps1" -DaysBack 7 -GeoLookup
1

הרצת סקריפט Triage, העתקת הדוח משולחן העבודה ושמירת הלוגים אצלנו

2

זיהוי ותיעוד פרטי עמדה (שם מחשב, משתמש, IP, תאריך ושעה)

3

מעבר על חריגים בלוגים (Firewall / EDR / SIEM)

4

בדיקת משתמשים מקומיים חריגים (כגון moses, admin)

5

הסרת תוכנות שליטה מרחוק לא מאושרות (AnyDesk, TeamViewer וכו')

6

בדיקת משימות מתוזמנות (Scheduled Tasks) חשודות

7

בדיקת חיבורים חריגים לאתרים/כתובות IP חסומות

שלב ב': החלטה - האם קיים חשד לאירוע?

8

לא קיים חשד - ניתן לסגור דוח (יש לוודא הגנות כגון Sentinel ו-Ninja)

9

קיים חשד - יש לעבור לשלב ג' (לטיפול במחשב ובחשבון המשתמש)

שלב ג': טיפול במחשב ובחשבון המשתמש

10

החלפת סיסמה למשתמש (AD / Entra)

11

הגדרת אימות דו-שלבי (MFA) למייל

12

סגירת סשנים פעילים (Revoke Sessions)

13

בדיקת Forwarding (העברת דואר) אם קיים

14

בדיקה שאין חוקי תיבה חשודים (Inbox Rules) והרשאות חריגות (Delegation)

15

בדיקת לוגים כניסות לתיבה

16

ייצוא סיסמאות מ-Chrome והנחיית המשתמש להחלפתן

17

בדיקת הרשאות גישה של אפליקציות צד ג' (OAuth)

18

עדכון המשתמש שלא להשתמש בסיסמה שדלפה או דומה לה

19

במקרה הצורך: ניתוק המחשב מהרשת, הוצאת דיסק והתקנת מערכת על דיסק חדש

שלב ד': הפעלת פרוטוקול הקשחה כללית ברשת

נוסח הקריאה ללקוח (יש לפתוח קריאה):
יש להפעיל פרוטוקול הקשחה כללי ברשת הארגון הכולל: רשימת משימות בקישור הבא https://downloads.startx.click/%D7%A1%D7%A7%D7%A8%D7%99%D7%9D%20%D7%95%D7%93%D7%95%D7%97%D7%95%D7%AA/hardening-checklist.html
20

פתיחת קריאה ללקוח על הפעלת הפרוטוקול

שלב ה': שמירת ממצאים וסיכום טכנאי

סטאטוס התקדמות טיפול באירוע

0 בוצעו
0 יש לבצע
20 סך הכל