Продолжаем рассматривать примеры интеграции корпоративного антивируса с SIEM-системами. На этот раз поговорим о возможностях экспорта информации из антивируса в любую стороннюю SIEM-систему.

В первой части данной статьи мы уже рассказывали о том, что такое SIEM, для чего она нужна и какие она предоставляет преимущества для экспертного анализа событий, связанных с информационной безопасностью. Если вкратце, то SIEM-система позволяет собирать огромный объем первичной информации от других приложений и систем безопасности (например, файервол, антивирус, IDS/IPS и пр.), систем идентификации и управления доступом, операционной системы, баз данных и пр. для обработки этих данных на предмет взаимосвязи между собой (корреляция) и предоставления их в удобном для просмотра и анализа виде.

В последнее время о SIEM-системах стали говорить все чаще, тем более, что для определенных компаний и организаций наличие собственной SIEM-системы становится не только актуальным, но и обязательным условием.

Чтобы SIEM-система предоставляла максимально обширную и полную информацию, необходимо, чтобы как можно больше устройств, объектов и приложений «поставляли» ей первичную информацию. Понятно, что корпоративный антивирус здесь один из основных поставщиков данных. Но как его интегрировать с SIEM-системой?

Рассмотрим данный вопрос на примере облачного корпоративного антивируса Panda Adaptive Defense 360. В первой части статьи мы рассмотрели вариант интеграции антивируса с собственной упрощенной SIEM-системой Advanced Reporting Tool. Во второй части статьи рассмотрим ситуацию, когда необходимо интегрировать антивирус со сторонней SIEM-системой (у пользователя уже имеется собственная SIEM-система или планируется приобретение конкретной системы).
?

SIEMFeeder


Что такое SIEMFeeder

SIEMFeeder – это специальный сервис, разработанный в компании Panda Security, для передачи информации и знаний из корпоративного антивируса Adaptive Defense 360 в корпоративную SIEM-платформу сторонних производителей.

Основная цель этого сервиса – обогащение корпоративной SIEM-платформы детальной информацией об активности каждого процесса, запущенного на корпоративных компьютерах. В результате этого системный администратор может получить беспрецедентную видимость всего, что происходит в корпоративной сети. SIEMFeeder облегчает обнаружение неизвестных угроз, направленных атак для кражи конфиденциальной корпоративной информации, постоянных угроз повышенной сложности (APT).

Архитектура SIEMFeeder



SIEMFeeder собирает информацию об активности каждого приложения и процесса, запущенного в корпоративной сети, благодаря непрерывному мониторингу всей сети со стороны корпоративного антивируса Adaptive Defense 360. Эта информация в облачной платформе Panda с Большими данными автоматически анализируется с помощью технологий искусственного интеллекта для генерации специальных знаний безопасности. В результате этого классифицируется каждый процесс, запускаемый на каждом компьютере в сети предприятия с точностью порядка 99,999% и практически с нулевым уровнем ложных срабатываний. После этого SIEMFeeder передает весь этот поток информации на корпоративный SIEM-сервер.

Причем для получения максимальной отдачи от SIEMFeeder не требуется вносить какие-либо изменения в настройки компьютеров корпоративной сети: сервис работает внутри инфраструктуры Panda Security.

Информационный поток выглядит следующим образом:

• Компьютеры в корпоративной сети, защищенные с помощью Adaptive Defense 360, автоматически отправляют информацию о каждом запущенном процессе в облако Panda
• Облако Panda принимает информацию, обрабатывает ее и дополняет специальными знаниями безопасности
• Сервис SIEMFeeder принимает информацию от облака Panda и инкапсулирует ее в форму логов, которые затем передаются пользователю
• sFTP-сервер в корпоративной сети принимает логи от SIEMFeeder для временного хранения с последующей передачей на SIEM-сервер

Кроме этого, в архитектуре присутствуют файерволы на периметре корпоративной сети и локально на компьютерах в сети для защиты входящего и исходящего трафиков.

Требования к внедрению и интеграции

Чтобы корректно внедрить интеграцию корпоративного антивируса с SIEM-системой в рамках рассматриваемого примера, необходимо учитывать следующие требования:

• требования по внедрению
• требования к SIEM-системе

Требования по внедрению

Для внедрения и использования SIEMFeeder необходимо:

• компьютеры, на которых установлено корпоративное решение безопасности Adaptive Defense 360
• активная лицензия на SIEMFeeder
• sFTP-сервер
• корректно настроенный файервол (встроенный в Adaptive Defense 360 или сторонний)
• достаточная пропускная способность канала связи для получения данных

sFTP-сервер

В корпоративной сети необходимо установить sFTP-сервер со следующими характеристиками:

• он должен иметь достаточный объем для хранения информации, которая поступает с SIEMFeeder. Примерный объем: 2 МБ с каждого компьютера в день
• sFTP-сервер должен поддерживать до 10 одновременных подключений с одинаковой учетной записью
• подключение учетных записей с проверкой подлинности на основе паролей
• время, по прошествии которого отключается подключение для передачи данных в том случае, если отсутствует трафик данных: 20 минут

Настройка файервола

Чтобы установить соединение между SIEMFeeder и sFTP-сервером, все промежуточные файерволы должны разрешать сетевой трафик со следующими характеристиками:

• доступ через порт 22 на sFTP-сервер
• доступ с IP-адреса 91.216.218.191
• протокол транспортного уровня: TCP
• протокол уровня приложения: SSH
• Тип соединения: входящий трафик в корпоративную сеть

Требования к SIEM-системе


Поддерживаемые SIEM-системы

Для совместимости SIEM-системы с SIEMFeeder, необходимо, чтобы она поддерживала следующие форматы логов: ArcSight Common Event Format (CEF) и QRadar Log Event Extended Format (LEEF).

SIEMFeeder может отправлять данные в любом из этих двух форматов (CEF или LEEF). Ниже представлен ограниченный список SIEM-серверов, которые совместимы с вышеупомянутыми форматами (для примера):

• AlienVault Unified Security Management (USM)
• Fortinet (AccelOps) FortiSIEM
• Hewlett Packard Enterprise (HPE) ArcSight
• QRadar Security Intelligence Platform (IBM)
• McAfee Enterprise Security Manager (ESM) (Intel Security)
• LogRhythm
• SolarWinds Log & Event Manager (LEM)
• Splunk Security Intelligence Platform

Конфигурация SIEM-сервера

Чтобы корректно настроить SIEM-сервер, необходимо импортировать sFTP-сервер в качестве источника данных и правильно сопоставлять события и поля, получаемые от SIEMFeeder (более подробно о передаваемых данных смотрите ниже).

Доступность SIEMFeeder


Сервис SIEMFeeder доступен круглосуточно в формате 24/7. О любых возможных паузах в работе этого сервиса будет предварительно сообщено администратору.

Чтобы предотвратить потерю данных в случае сбоя, недоступности sFTP-сервера пользователя или в результате любых других ошибок, Panda Security сохраняет логи, генерируемые SIEMFeeder до тех пор, пока они не будут переданы пользователю (в течение разумного периода времени).

Передаваемые события и данные


SIEMFeeder трансформирует информацию, получаемую с корпоративного антивируса Adaptive Defense 360 в события. Таким образом, событие – это основная единица информации, передаваемая SIEMFeeder.

Структура события в SIEMFeeder





Событие состоит из переменного числа пар поле-значение и одного типа/категории события. Пары поле-значение зависят от типа события.
Кроме того, в событие добавляется преамбула с информацией, необходимой для инкапсуляции события в лог-файл, совместимый с CEF или LEEF. Данная информация позволяет SIEM корректно идентифицировать события в виде совместимых логов и включить их в свой репозиторий.

Группа событий

Лог-файл – это группа событий, передаваемых в SIEM-сервер. Эти лог-файлы, генерируемые SIEMFeeder, имеют различные размеры и могут содержать одно или несколько событий, относящихся к различным категориям. Кроме того, события, включенные в один лог-файл, могут содержать информацию от одного или нескольких компьютеров пользователя.

Последовательности и задержки в получении информации

Максимальный объем времени, который может пройти с момента, когда на компьютере пользователя произойдет событие, до момента доставки информации о нем в SIEM-систему, составляет 20 минут. Агенты Adaptive Defense 360 взаимодействуют с облаком каждые 10 минут, после чего данные обрабатываются в облаке и дополняются специальными знаниями безопасности, трансформируются в лог-файл и с помощью SIEMFeeder отправляются в SIEM-систему пользователя.

SIEMFeeder не отправляет лог-файлы в заранее определенной последовательности. Однако все логи содержат метку времени, что позволяет SIEM-серверу точно «расставить» события на временной шкале.

Формат CEF-файла SIEMFeeder

Как мы упоминали ранее, SIEMFeeder может отправлять информацию в двух форматах: CEF или LEEF.

CEF-формат содержит две секции данных: префикс или преамбулу, которая идентифицирует категорию события, и секцию расширений с полями и значениями. При этом SIEMFeeder не включает syslog-заголовок в логи в формате CEF. Пример:

CEF:1|Panda Security|paps|02.43.00.0000|registryc|1|
ClientId=Date=2016-11-04 23:47:49.000087 MachineName=WIN-JNTIXXX MachineIP=xxx.219.203.xx User=NT AUTHORITY\LOCAL SERVICE MUID=33432C7635XXXX1ECE94F666D12XXXXX Op=CreateExeKey Hash=C78655BC80301D76ED4FEF1C1EA40A7D DriveType=Fixed Path=SYSTEM|\svchost.exe ValidSig= Company=Microsoft Corporation Broken=true ImageType=EXE 64 ExeType=Unknown Prevalence=High PrevLastDay=Low HeurFI=67108872 Skeptic= AVDets=0 JIDFI=3431976 1NFI=132943 JIDMW=11197481 1NMW=5153723 Class=100 Cat=Goodware MWName= TargetPath=0|pune.com RegKey=\REGISTRY\ MACHINE\SYSTEM\ ControlSet001\ services\Tcpip\Parameters?DhcpDomain

Префикс

CEF:1|Panda Security|paps|02.43.00.0000|registryc|1|

CEF version (CEF:1): Идентификатор формата и версии лога
Device vendor (Panda Security): Название сервис-провайдера
Product (paps): Внутреннее название ПО или устройства
Signature ID (2.43.00.0000): Версия защиты, которая генерирует событие
Name (registryc): Тип отправленного события
Severity (1): Критичность события. Данное значение всегда равно “1”, за исключением событий с типом оповещения (alertmalware, alertpup, exploits). Более подробно о типах событий мы скажем ниже.

Расширения

Секция расширений содержит различные поля с различной информацией в зависимости от поля Name (тип события).

Кодировка
Все лог-файлы, отпраляемые SIEMFeeder, используют кодировку UTF-8.

Формат LEEF-файла SIEMFeeder


LEEF-формат содержит две секции данных: LEEF-заголовок, который идентифицирует категорию события, и секцию атрибутов, которая содержит информацию о событии в виде полей и значений. При этом SIEMFeeder не включает syslog-заголовок в логи в формате LEEF.

Пример:

LEEF:1.0|Panda Security|paps|02.43.00.0000|registryc|sev=1 devTime=2016-09-22 15:25:11.000628 devTimeFormat=yyyy-MM-dd HH:mm:ss.SSS usrName=LOCAL SERVICE domain=NT AUTHORITY src=10.219.202.149 identSrc=10.219.202.149 identHostName=PXE68XXX HostName= PXE68XXX MUID=1F109BA4E0XXXX37F9995D31FXXXX319 Op=CreateExeKey Hash=C78655BC80301D76ED4FEF1C1EA40A7D DriveType=Fixed Path=SYSTEM|\svchost.exe ValidSig= Company=Microsoft Corporation Broken=true ImageType=EXE 64 ExeType=Unknown Prevalence=High PrevLastDay=Low HeurFI=67108872 Skeptic= AVDets=0 JIDFI=3431993 1NFI=116241 JIDMW=11195630 1NMW=4308325 Class=100 Cat=Goodware MWName= TargetPath=0|pune.com RegKey=\ REGISTRY\ MACHINE\ SYSTEM\ ControlSet001\services\Tcpip\Parameters?DhcpDomain

Заголовок
LEEF:1.0|Panda Security|paps|02.43.00.0000|registryc|

LEEF version (LEEF:1): Идентификатор формата и версии лога
Vendor (Panda Security): Название сервис-провайдера
Product (paps): Внутреннее название ПО или устройства
Version ID (2.43.00.0000): Версия защиты, которая генерирует событие
Event Description ID (registryc): Тип отправленного события

В лог-файлах в формате LEEF параметр события Severity не передается в заголовке, но он указывается в секции с атрибутами (поле «Sev=number»)

Секция атрибутов

Секция атрибутов содержит различные поля с различной информацией в зависимости от типа события.

Категории событий


Тип получаемого события отображается в поле Name в секции префикса (формат CEF), либо в поле Event Description ID в заголовке (формат LEEF).

Ниже представлен список всех возможных событий с пояснениями их значений, сгруппированных по типу:

Внедрение агента Adaptive Defense 360

install: установка агента
upgrade: апгрейд агента
uninstalll: деинсталляция агента

Создание оповещения

alertpup: Оповещение, создаваемое после обнаружения потенциально нежелательной программы (ПНП)
alertmalware: Оповещение, создаваемое после обнаружения образца вредоносной программы
exploits: Оповещение, создаваемое после обнаружения экплойта

Изменения в операционной системе пользователя

hostfiles: Файл hosts был изменен
monitoredregistry: Доступ с правами чтения к реестру компьютера
registrym: Изменение ветки в реестре для того, чтобы указывать на исполняемый файл
registryc: Создание ветки в реестре, указывающей на исполняемый файл

Обработка процесса

createremotethread: Создан тред удаленного запуска
createprocess: Создан процесс
exec: Процесс выполнен
createpe: Создана исполняемая программа
modifype: Изменен исполняемый файл
renamepe: Переименован исполняемый файл
deletepe: Удалена исполняемая программа
loadlib: Загружена библиотека

Скачивание файла

urldownload: Скачен файл

Доступ к данным

createcmp: Создан заархивированный файл
opencmp: Открыт заархивированный файл
monitoredopen: Доступ к контролируемым файлам с данными
createdir: Создана папка в файловой системе
socket: Установлено сетевое соединение

Информация о блокировке

toast: Adaptive Defense показал всплывающее сообщение
notBlocked: Соответствующий файл не был просканирован во время загрузки
toastBlocked: Active Defense показал всплывающее сообщение после блокировки неизвестного файла

Структура события и синтаксис полей


SIEMFeeder описывает каждое отправляемое событие с помощью пары поле-значение. События в SIEMFeeder разделены на два типа: активные события и пассивные события.

Внутренняя структура активных событий

Большинство получаемых событий описывают ситуации, в которых родительский процесс выполняет действие на дочерний процесс. Тип элемента, который получает действие, варьируется в зависимости от категории события. Таким образом, в качестве дочернего элемента может быть:

Другой процесс: В событиях, где скачивается/загружается процесс, загружается библиотека и т.д.
Исполняемый файл: В событиях, где создается, изменяется, удаляется программа
Системный файл: В событиях, где осуществляются манипуляции с файлом hosts, реестром
Файл с данными: В событиях, где осуществляется доступ к файлам Office, базам данных и пр.
Скачиваемый файл: В событиях, где процесс скачивает данные
Заархивированный файл: В событиях, где создается, изменяется, удаляется заархивированный файл
Папка: В событиях, где создается, изменяется, удаляется папка

В зависимости от своего типа, событие будет или не будет содержать определенные поля, описывающие характеристики родительского и дочернего элементов. Например, если тип события связан с созданием папки, то поля, связанные с событием, будут описывать характеристики родительского процесса (вредоносная программа или нет, путь процесса, мета-данные процесса и пр.), а также характеристики дочернего процесса. Впрочем, в этом случае, раз мы имеем дело с папкой, некоторые поля события будут пустыми.

Внутренняя структура пассивных событий

Речь идет про события, которые в большинстве случаев не имеют четко определенного родительского или дочернего процесса. К пассивным событиям, например, относятся генерация оповещений при обнаружении вредоносной программы, или установка/изменение/удаление агента Adaptive Defense 360.

Родительские и дочерние префиксы

Активные процессы, включающие два файла или процесса, показывают префиксы Parent и Child, чтобы показать, какая информация к какому относится процессу:

Parent: Поля, начинающие с тега Parent, описывают атрибут родительского процесса
Child: Поля, начинающие с тега Child, описывают атрибут дочернего процесса

Другие префиксы и аффиксы

Многие поля и значения используют аббревиатуры. Зная их значение, гораздо легче интерпретировать рассматриваемое поле:

Sig: Цифровая подпись
Exe and pe: Исполняемый файл
Mw: Вредоносная программа
Sec: Секунды
Op: Операция
Cat: Категория
PUP: Потенциально нежелательная программа
Ver: Версия
SP: Сервис пак
Cfg: Конфигурация
Cmp and comp: Заархивированный файл
Dst: Пункт назначения
?

Описание полей


Ниже представлена информация о доступных полях с теми данными, которые они содержат.
action (number): Действие, которое предпринял агент Adaptive Defense

• Разрешить
• Блокировать
• Ожидание блокировки

alertType (number): Категория угрозы, которая вызвала оповещение
• Вредоносная программа
• ПНП
• Экплойт

broken (Boolean): Файл поврежден или неисправен

cat (number): Категория файла, который выполнил описываемую операцию
• Невредоносная программа
• Вредоносная программа
• ПНП
• Неизвестно
• Мониторинг

childBroken (Boolean): Дочерний процесс поврежден или неисправен

childCat (number): Категория дочернего файла, который выполнил описываемую операцию
• Невредоносная программа
• Вредоносная программа
• ПНП
• Неизвестно
• Мониторинг

childCompany (string): Содержание атрибута Company в мета-данных дочернего процесса
childDriveType (number): Тип диска, на котором находится дочерний процесс/файл, который выполнил описываемую операцию

• Фиксированный
• Удаленный
• Съемный

childExeType (number): Внутренняя структура/тип исполняемого файла

• Delphi
• DOTNET
• VisualC
• VB
• CBuilder
• Mingw
• Mssetup
• Setupfactory
• Lcc32
• Vc7setupproject
• Unknown

childHash (MD5): Хэш дочернего процесса
childImageType (number): Внутренняя архитектура дочернего процесса

• EXEx32
• EXEx64
• DLLx32
• DLLx64

childMwname (string): Название вредоносной программы, если дочерний процесс классифицирован как угроза
• Null: объект не является вредоносной программой

childPath (path string): Путь к дочернему файлу, который выполнил описываемую операцию
childPrevalence (number): Частота появления дочернего процесса в системах Panda Security за их время существования

• Высокая
• Средняя
• Низкая

childPrevLastDay (number): Частота появления дочернего процесса в системах Panda Security за предыдущий день
childValidSig (Boolean): Дочерний процесс имеет цифровую подпись
clientCat (number): Категория объекта, хранящаяся в кеше агента Adaptive Defense

• Goodware
• Malware
• PUP
• Unknown
• Monitoring

clientId (number): ID пользователя
company (string): Содержимое атрибута Company в мета-данных процесса
companyName (string): Содержимое атрибута Company в мета-данных уязвимого файла
date (date): Дата с компьютера пользователя, когда было сгенерировано событие
direction (number): Направление сетевого соединения

• Исходящее
• Входящее
• Двунаправленное
• Неизвестно

driveType (number): Тип диска, на котором находится процесс/файл, который выполнил описываемую операцию

• Фиксированный
• Удаленный
• Съемный

dstIp (IP address): IP-адрес получателя соединения
dstIp6 (IPv6 address): IPv6-адрес получателя соединения
dstPort (range 0-65535): Порт получателя соединения
dwellTimeSecs (seconds): Время в секундах с момента первого наблюдения угрозы в сети пользователя
executionStatus (number): Показывает, была ли запущена обнаруженная угроза

• Запущена
• Не запущена

exeType (number): Внутренняя структура/тип исполняемого файла
• Delphi
• DOTNET
• VisualC
• VB
• CBuilder
• Mingw
• Mssetup
• Setupfactory
• Lcc32
• Vc7setupproject
• Неизвестно

fileName (string): Название уязвимого файла
filePath (string): Полный путь к уязвимому файлу
fileVersion (string): Содержимое атрибута Version в мета-данных уязвимого файла
hash (MD5): Хэш файла
imageType (number): Внутренняя архитектура процесса

• EXEx32
• EXEx64
• DLLx32
• DLLx64

internalName (string): Содержимое атрибута Name в мета-данных уязвимого файла
itemHash (MD5 string): Хэш найденной угрозы или уязвимой программы
itemName (string): Название обнаруженной угрозы
itemPath (path string): Полный путь к файлу, который содержит угрозу
key (string): Ветка или ключ пострадавшего реестра
localCat (number): Категория объекта, рассчитанная агентом Adaptive Defense

• Goodware
• Malware
• PUP
• Unknown
• Monitoring

loggedUser (string): Пользователь, авторизованный в системе во время генерации события
machine: Название компьютера пользователя, который выполнил описываемую операцию
machineIP (IP address): IP-адрес компьютера пользователя, который выполнил описываемую операцию
machineIP1 (IP address): IP-алиас компьютера пользователя, который выполнил описываемую операцию
machineIP2 (IP address): IP-алиас компьютера пользователя, который выполнил описываемую операцию
machineIP3 (IP address): IP-алиас компьютера пользователя, который выполнил описываемую операцию
machineIP4 (IP address): IP-алиас компьютера пользователя, который выполнил описываемую операцию
machineIP5 (IP address): IP-алиас компьютера пользователя, который выполнил описываемую операцию
machineName (string): Название компьютера пользователя, который выполнил описываемую операцию
muid (String, формат: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx): Внутренний ID компьютера клиента
numCacheClassifiedElements (number): Количество объектов, классифицированных в кеше Adaptive Defense
mwName (string): Название вредоносного образца, если объект каталогизирован как угроза

Null: The item is not malware
op (number): Операция, выполненная процессом
• Install
• Uninstall
• Upgrade
• CreateDir
• Exec
• CreatePE
• DeletePE
• LoadLib
• OpenCmp
• RenamePE
• CreateCmp

osPlatform (number): Платформа операционной системы, установленной на компьютере пользователя

• WIN32
• WIN64

osSP (string): Сервис-пак операционной системы, установленной на компьютере пользователя
osVer (string): Версия операционной системы, установленной на компьютере пользователя
path (path string): Путь к объекту, который выполнил описываемую операцию
params (string): Параметры выполнения процесса
parentBroken (Boolean): Родительский процесс поврежден или неисправен
parentCat (number): Категория родительского файла, который выполнил описываемую операцию

• Невредоносная программа
• Вредоносная программа
• ПНП
• Неизвестно
• Мониторинг

parentCompany (string): Содержимое атрибута Company в мета-данных родительского процесса

parentDriveType (number): Тип диска, на котором находится родительский процесс /файл, который выполнил описываемую операцию

• Фиксированный
• Удаленный
• Съемный

parentExeType (number): Внутренняя структура/тип родительского процесса

• Delphi
• DOTNET
• VisualC
• VB
• CBuilder
• Mingw
• Mssetup
• Setupfactory
• Lcc32
• Vc7setupproject
• Неизвестно

parentHash (MD5): Хэш родительского процесса
parentImageType (number): Внутренняя архитектура родительского процесса

• EXEx32
• EXEx64
• DLLx32
• DLLx64

parentMwname (string): Название вредоносной программы, если родительский процесс классифицирован как угроза

• Null: Объект не является вредоносной программой
parentPath (path string): Путь к родительскому файлу, который выполнил описываемую операцию

parentPrevalence (number): Частота появления родительского процесса в системах Panda Security за их время существования

• Высокая
• Средняя
• Низкая

parentPrevLastDay (number): Частота появления родительского процесса в системах Panda Security за предыдущий день

parentValidSig (Boolean): Родительский процесс имеет цифровую подпись

Port (0-65535): Коммуникационный порт, используемый процессом
Prevalence (number): Частота появления процесса в системах Panda Security за их время существования

• Высокая
• Средняя
• Низкая

prevLastDay (number): Частота появления процесса в системах Panda Security за предыдущий день

• Высокая
• Средняя
• Низкая

productVersion (string): Содержимое атрибута ProductVersion в мета-данных уязвимого файла
protocol (number): Коммуникационный протокол, используемый процессом

• TCP
• UDP
• ICMP
• ICMPv6
• IGMP
• RF

regAction (number): Тип операции, выполненной в реестра компьютера
• CreateKey
• CreateValue
• ModifyValue

regKey (string): Ключ реестра
responseCat (number): Категория файла, возвращенная облаком

• Неизвестно = 0
• Невредоносная программа = 1
• Вредоносная программа = 2
• Подозрительный файл = 3
• Скомпрометированный файл =4
• Неподтвержденная невредоносная программа = 5
• ПНП = 6
• Нежелательная невредоносная программа = 7

serverdate: Дата с компьютера пользователя, когда было сгенерировано событие
serviceDriveType (number): Тип диска, на котором находится драйвер, получивший действие
sonFirstSeen (date): Время первого обнаружения объекта, который вызвал появление всплывающего сообщения
sonLastQuery (date): Время, когда процесс, вызвавший появление всплывающего сообщения на компьютере пользователя, в последний раз отправил запрос в облако
targetPath (path string): Путь к исполняемому файлу, на который ссылается ветка реестра
toastResult (number): Реакция пользователя на всплывающее сообщение, показанное решением Adaptive Defense

• OK: Пользователь принял сообщение
• Тайм-Аут: Всплывающее сообщение перестало показываться из-за отсутствия действия со стороны пользователя в установленный период времени
• Пользователь отклонил действие по блокировке
• Блокировать
• Разрешить

user (string): Учетная запись пользователя, используемая процессом, который выполнил описываемую операцию
url (URL string): URL для скачивания, вызванная процессом, который сгенерировал описываемое событие
validSig (Boolean): Процесс, подписанный цифровой подписью
value (string): Название измененного значения в ключе реестра
valueData (string): Содержимое значения ключа реестра
ver (string): Версия агента Adaptive Defense
version (string): Версия агента Adaptive Defense
winningTech (number): Технология, которая сгенерировала событие

• Неизвестно
• Cache
• Cloud
• Context
• Serializer
• User
• Legacyuser
• Netnative
• certifUA

Заключение


Adaptive Defense 360 способен автоматически и практически в реальном времени передавать в стороннюю SIEM-систему огромный объем информации обо всех процессах, отслеживаемых на компьютерах в корпоративной сети. В свою очередь, SIEM-система позволяет мгновенно предоставлять обработанную экспертную информацию в удобоваримом виде, чтобы пользователь мог принимать эффективные решения по противодействию вредоносным и несанкционированным действиям, минимизации рисков безопасности и предотвращению утечки корпоративных данных. Кроме того, SIEM-системы могут использоваться для тщательного расследования инцидентов информационной безопасности, чтобы установить, что, где, когда, как и с кем произошло.

Впрочем, даже если на предприятии уже имеется корпоративный антивирус, то отдельный продукт Adaptive Defense может использоваться в качестве «сборщика» огромного объема первичной информации с последующей ее автоматической выгрузкой в SIEM без влияния на производительность компьютеров. При том, что Adaptive Defense будет еще крайне полезен в качестве «защитника» от неизвестных угроз, направленных атак и шифровальщиков, работая параллельно имеющемуся корпоративному антивирусу.

В огромном потоке информации сложно оперативно фиксировать и отслеживать все, что необходимо. И в этом плане интеграция корпоративного антивируса с SIEM-системой может здорово помочь.

Предлагаем оценить возможности Adaptive Defense 360 с помощью демо-консоли (без необходимости установки продукта).

Демо-консоль предназначена для демонстрации Panda Adaptive Defense 360, в котором уже имеется определенная информация по настройкам пользователей, профилей и т.д., что позволяет оценить консоль в режиме, максимально приближенном к реальной работе.

Доступ к демо-консоли: demologin.pandasecurity.com
Логин: DRUSSIAN_FEDERATION_C13@panda.com
Пароль: DRUSSIAN#123

Примечание: Сброс изменений в настройках продуктов, которые осуществлены при просмотре демо-консоли, происходит ежедневно.
Поделиться с друзьями
-->

Комментарии (1)


  1. Mako_357
    10.03.2017 11:17

    А что за софтина такая красивая с графиками на фотографии в шапке?