Пример интеграции корпоративного антивируса с SIEM-платформой. Часть 2



    Продолжаем рассматривать примеры интеграции корпоративного антивируса с SIEM-системами. На этот раз поговорим о возможностях экспорта информации из антивируса в любую стороннюю SIEM-систему.

    В первой части данной статьи мы уже рассказывали о том, что такое SIEM, для чего она нужна и какие она предоставляет преимущества для экспертного анализа событий, связанных с информационной безопасностью. Если вкратце, то SIEM-система позволяет собирать огромный объем первичной информации от других приложений и систем безопасности (например, файервол, антивирус, IDS/IPS и пр.), систем идентификации и управления доступом, операционной системы, баз данных и пр. для обработки этих данных на предмет взаимосвязи между собой (корреляция) и предоставления их в удобном для просмотра и анализа виде.

    В последнее время о SIEM-системах стали говорить все чаще, тем более, что для определенных компаний и организаций наличие собственной SIEM-системы становится не только актуальным, но и обязательным условием.

    Чтобы SIEM-система предоставляла максимально обширную и полную информацию, необходимо, чтобы как можно больше устройств, объектов и приложений «поставляли» ей первичную информацию. Понятно, что корпоративный антивирус здесь один из основных поставщиков данных. Но как его интегрировать с SIEM-системой?

    Рассмотрим данный вопрос на примере облачного корпоративного антивируса Panda Adaptive Defense 360. В первой части статьи мы рассмотрели вариант интеграции антивируса с собственной упрощенной SIEM-системой Advanced Reporting Tool. Во второй части статьи рассмотрим ситуацию, когда необходимо интегрировать антивирус со сторонней SIEM-системой (у пользователя уже имеется собственная SIEM-система или планируется приобретение конкретной системы).

    SIEMFeeder


    Что такое SIEMFeeder

    SIEMFeeder – это специальный сервис, разработанный в компании Panda Security, для передачи информации и знаний из корпоративного антивируса Adaptive Defense 360 в корпоративную SIEM-платформу сторонних производителей.

    Основная цель этого сервиса – обогащение корпоративной SIEM-платформы детальной информацией об активности каждого процесса, запущенного на корпоративных компьютерах. В результате этого системный администратор может получить беспрецедентную видимость всего, что происходит в корпоративной сети. SIEMFeeder облегчает обнаружение неизвестных угроз, направленных атак для кражи конфиденциальной корпоративной информации, постоянных угроз повышенной сложности (APT).

    Архитектура SIEMFeeder



    SIEMFeeder собирает информацию об активности каждого приложения и процесса, запущенного в корпоративной сети, благодаря непрерывному мониторингу всей сети со стороны корпоративного антивируса Adaptive Defense 360. Эта информация в облачной платформе Panda с Большими данными автоматически анализируется с помощью технологий искусственного интеллекта для генерации специальных знаний безопасности. В результате этого классифицируется каждый процесс, запускаемый на каждом компьютере в сети предприятия с точностью порядка 99,999% и практически с нулевым уровнем ложных срабатываний. После этого SIEMFeeder передает весь этот поток информации на корпоративный SIEM-сервер.

    Причем для получения максимальной отдачи от SIEMFeeder не требуется вносить какие-либо изменения в настройки компьютеров корпоративной сети: сервис работает внутри инфраструктуры Panda Security.

    Информационный поток выглядит следующим образом:

    • Компьютеры в корпоративной сети, защищенные с помощью Adaptive Defense 360, автоматически отправляют информацию о каждом запущенном процессе в облако Panda
    • Облако Panda принимает информацию, обрабатывает ее и дополняет специальными знаниями безопасности
    • Сервис SIEMFeeder принимает информацию от облака Panda и инкапсулирует ее в форму логов, которые затем передаются пользователю
    • sFTP-сервер в корпоративной сети принимает логи от SIEMFeeder для временного хранения с последующей передачей на SIEM-сервер

    Кроме этого, в архитектуре присутствуют файерволы на периметре корпоративной сети и локально на компьютерах в сети для защиты входящего и исходящего трафиков.

    Требования к внедрению и интеграции

    Чтобы корректно внедрить интеграцию корпоративного антивируса с SIEM-системой в рамках рассматриваемого примера, необходимо учитывать следующие требования:

    • требования по внедрению
    • требования к SIEM-системе

    Требования по внедрению

    Для внедрения и использования SIEMFeeder необходимо:

    • компьютеры, на которых установлено корпоративное решение безопасности Adaptive Defense 360
    • активная лицензия на SIEMFeeder
    • sFTP-сервер
    • корректно настроенный файервол (встроенный в Adaptive Defense 360 или сторонний)
    • достаточная пропускная способность канала связи для получения данных

    sFTP-сервер

    В корпоративной сети необходимо установить sFTP-сервер со следующими характеристиками:

    • он должен иметь достаточный объем для хранения информации, которая поступает с SIEMFeeder. Примерный объем: 2 МБ с каждого компьютера в день
    • sFTP-сервер должен поддерживать до 10 одновременных подключений с одинаковой учетной записью
    • подключение учетных записей с проверкой подлинности на основе паролей
    • время, по прошествии которого отключается подключение для передачи данных в том случае, если отсутствует трафик данных: 20 минут

    Настройка файервола

    Чтобы установить соединение между SIEMFeeder и sFTP-сервером, все промежуточные файерволы должны разрешать сетевой трафик со следующими характеристиками:

    • доступ через порт 22 на sFTP-сервер
    • доступ с IP-адреса 91.216.218.191
    • протокол транспортного уровня: TCP
    • протокол уровня приложения: SSH
    • Тип соединения: входящий трафик в корпоративную сеть

    Требования к SIEM-системе


    Поддерживаемые SIEM-системы

    Для совместимости SIEM-системы с SIEMFeeder, необходимо, чтобы она поддерживала следующие форматы логов: ArcSight Common Event Format (CEF) и QRadar Log Event Extended Format (LEEF).

    SIEMFeeder может отправлять данные в любом из этих двух форматов (CEF или LEEF). Ниже представлен ограниченный список SIEM-серверов, которые совместимы с вышеупомянутыми форматами (для примера):

    • AlienVault Unified Security Management (USM)
    • Fortinet (AccelOps) FortiSIEM
    • Hewlett Packard Enterprise (HPE) ArcSight
    • QRadar Security Intelligence Platform (IBM)
    • McAfee Enterprise Security Manager (ESM) (Intel Security)
    • LogRhythm
    • SolarWinds Log & Event Manager (LEM)
    • Splunk Security Intelligence Platform

    Конфигурация SIEM-сервера

    Чтобы корректно настроить SIEM-сервер, необходимо импортировать sFTP-сервер в качестве источника данных и правильно сопоставлять события и поля, получаемые от SIEMFeeder (более подробно о передаваемых данных смотрите ниже).

    Доступность SIEMFeeder


    Сервис SIEMFeeder доступен круглосуточно в формате 24/7. О любых возможных паузах в работе этого сервиса будет предварительно сообщено администратору.

    Чтобы предотвратить потерю данных в случае сбоя, недоступности sFTP-сервера пользователя или в результате любых других ошибок, Panda Security сохраняет логи, генерируемые SIEMFeeder до тех пор, пока они не будут переданы пользователю (в течение разумного периода времени).

    Передаваемые события и данные


    SIEMFeeder трансформирует информацию, получаемую с корпоративного антивируса Adaptive Defense 360 в события. Таким образом, событие – это основная единица информации, передаваемая SIEMFeeder.

    Структура события в SIEMFeeder





    Событие состоит из переменного числа пар поле-значение и одного типа/категории события. Пары поле-значение зависят от типа события.
    Кроме того, в событие добавляется преамбула с информацией, необходимой для инкапсуляции события в лог-файл, совместимый с CEF или LEEF. Данная информация позволяет SIEM корректно идентифицировать события в виде совместимых логов и включить их в свой репозиторий.

    Группа событий

    Лог-файл – это группа событий, передаваемых в SIEM-сервер. Эти лог-файлы, генерируемые SIEMFeeder, имеют различные размеры и могут содержать одно или несколько событий, относящихся к различным категориям. Кроме того, события, включенные в один лог-файл, могут содержать информацию от одного или нескольких компьютеров пользователя.

    Последовательности и задержки в получении информации

    Максимальный объем времени, который может пройти с момента, когда на компьютере пользователя произойдет событие, до момента доставки информации о нем в SIEM-систему, составляет 20 минут. Агенты Adaptive Defense 360 взаимодействуют с облаком каждые 10 минут, после чего данные обрабатываются в облаке и дополняются специальными знаниями безопасности, трансформируются в лог-файл и с помощью SIEMFeeder отправляются в SIEM-систему пользователя.

    SIEMFeeder не отправляет лог-файлы в заранее определенной последовательности. Однако все логи содержат метку времени, что позволяет SIEM-серверу точно «расставить» события на временной шкале.

    Формат CEF-файла SIEMFeeder

    Как мы упоминали ранее, SIEMFeeder может отправлять информацию в двух форматах: CEF или LEEF.

    CEF-формат содержит две секции данных: префикс или преамбулу, которая идентифицирует категорию события, и секцию расширений с полями и значениями. При этом SIEMFeeder не включает syslog-заголовок в логи в формате CEF. Пример:

    CEF:1|Panda Security|paps|02.43.00.0000|registryc|1|
    ClientId=Date=2016-11-04 23:47:49.000087 MachineName=WIN-JNTIXXX MachineIP=xxx.219.203.xx User=NT AUTHORITY\LOCAL SERVICE MUID=33432C7635XXXX1ECE94F666D12XXXXX Op=CreateExeKey Hash=C78655BC80301D76ED4FEF1C1EA40A7D DriveType=Fixed Path=SYSTEM|\svchost.exe ValidSig= Company=Microsoft Corporation Broken=true ImageType=EXE 64 ExeType=Unknown Prevalence=High PrevLastDay=Low HeurFI=67108872 Skeptic= AVDets=0 JIDFI=3431976 1NFI=132943 JIDMW=11197481 1NMW=5153723 Class=100 Cat=Goodware MWName= TargetPath=0|pune.com RegKey=\REGISTRY\ MACHINE\SYSTEM\ ControlSet001\ services\Tcpip\Parameters?DhcpDomain

    Префикс

    CEF:1|Panda Security|paps|02.43.00.0000|registryc|1|

    CEF version (CEF:1): Идентификатор формата и версии лога
    Device vendor (Panda Security): Название сервис-провайдера
    Product (paps): Внутреннее название ПО или устройства
    Signature ID (2.43.00.0000): Версия защиты, которая генерирует событие
    Name (registryc): Тип отправленного события
    Severity (1): Критичность события. Данное значение всегда равно “1”, за исключением событий с типом оповещения (alertmalware, alertpup, exploits). Более подробно о типах событий мы скажем ниже.

    Расширения

    Секция расширений содержит различные поля с различной информацией в зависимости от поля Name (тип события).

    Кодировка
    Все лог-файлы, отпраляемые SIEMFeeder, используют кодировку UTF-8.

    Формат LEEF-файла SIEMFeeder


    LEEF-формат содержит две секции данных: LEEF-заголовок, который идентифицирует категорию события, и секцию атрибутов, которая содержит информацию о событии в виде полей и значений. При этом SIEMFeeder не включает syslog-заголовок в логи в формате LEEF.

    Пример:

    LEEF:1.0|Panda Security|paps|02.43.00.0000|registryc|sev=1 devTime=2016-09-22 15:25:11.000628 devTimeFormat=yyyy-MM-dd HH:mm:ss.SSS usrName=LOCAL SERVICE domain=NT AUTHORITY src=10.219.202.149 identSrc=10.219.202.149 identHostName=PXE68XXX HostName= PXE68XXX MUID=1F109BA4E0XXXX37F9995D31FXXXX319 Op=CreateExeKey Hash=C78655BC80301D76ED4FEF1C1EA40A7D DriveType=Fixed Path=SYSTEM|\svchost.exe ValidSig= Company=Microsoft Corporation Broken=true ImageType=EXE 64 ExeType=Unknown Prevalence=High PrevLastDay=Low HeurFI=67108872 Skeptic= AVDets=0 JIDFI=3431993 1NFI=116241 JIDMW=11195630 1NMW=4308325 Class=100 Cat=Goodware MWName= TargetPath=0|pune.com RegKey=\ REGISTRY\ MACHINE\ SYSTEM\ ControlSet001\services\Tcpip\Parameters?DhcpDomain

    Заголовок
    LEEF:1.0|Panda Security|paps|02.43.00.0000|registryc|

    LEEF version (LEEF:1): Идентификатор формата и версии лога
    Vendor (Panda Security): Название сервис-провайдера
    Product (paps): Внутреннее название ПО или устройства
    Version ID (2.43.00.0000): Версия защиты, которая генерирует событие
    Event Description ID (registryc): Тип отправленного события

    В лог-файлах в формате LEEF параметр события Severity не передается в заголовке, но он указывается в секции с атрибутами (поле «Sev=number»)

    Секция атрибутов

    Секция атрибутов содержит различные поля с различной информацией в зависимости от типа события.

    Категории событий


    Тип получаемого события отображается в поле Name в секции префикса (формат CEF), либо в поле Event Description ID в заголовке (формат LEEF).

    Ниже представлен список всех возможных событий с пояснениями их значений, сгруппированных по типу:

    Внедрение агента Adaptive Defense 360

    install: установка агента
    upgrade: апгрейд агента
    uninstalll: деинсталляция агента

    Создание оповещения

    alertpup: Оповещение, создаваемое после обнаружения потенциально нежелательной программы (ПНП)
    alertmalware: Оповещение, создаваемое после обнаружения образца вредоносной программы
    exploits: Оповещение, создаваемое после обнаружения экплойта

    Изменения в операционной системе пользователя

    hostfiles: Файл hosts был изменен
    monitoredregistry: Доступ с правами чтения к реестру компьютера
    registrym: Изменение ветки в реестре для того, чтобы указывать на исполняемый файл
    registryc: Создание ветки в реестре, указывающей на исполняемый файл

    Обработка процесса

    createremotethread: Создан тред удаленного запуска
    createprocess: Создан процесс
    exec: Процесс выполнен
    createpe: Создана исполняемая программа
    modifype: Изменен исполняемый файл
    renamepe: Переименован исполняемый файл
    deletepe: Удалена исполняемая программа
    loadlib: Загружена библиотека

    Скачивание файла

    urldownload: Скачен файл

    Доступ к данным

    createcmp: Создан заархивированный файл
    opencmp: Открыт заархивированный файл
    monitoredopen: Доступ к контролируемым файлам с данными
    createdir: Создана папка в файловой системе
    socket: Установлено сетевое соединение

    Информация о блокировке

    toast: Adaptive Defense показал всплывающее сообщение
    notBlocked: Соответствующий файл не был просканирован во время загрузки
    toastBlocked: Active Defense показал всплывающее сообщение после блокировки неизвестного файла

    Структура события и синтаксис полей


    SIEMFeeder описывает каждое отправляемое событие с помощью пары поле-значение. События в SIEMFeeder разделены на два типа: активные события и пассивные события.

    Внутренняя структура активных событий

    Большинство получаемых событий описывают ситуации, в которых родительский процесс выполняет действие на дочерний процесс. Тип элемента, который получает действие, варьируется в зависимости от категории события. Таким образом, в качестве дочернего элемента может быть:

    Другой процесс: В событиях, где скачивается/загружается процесс, загружается библиотека и т.д.
    Исполняемый файл: В событиях, где создается, изменяется, удаляется программа
    Системный файл: В событиях, где осуществляются манипуляции с файлом hosts, реестром
    Файл с данными: В событиях, где осуществляется доступ к файлам Office, базам данных и пр.
    Скачиваемый файл: В событиях, где процесс скачивает данные
    Заархивированный файл: В событиях, где создается, изменяется, удаляется заархивированный файл
    Папка: В событиях, где создается, изменяется, удаляется папка

    В зависимости от своего типа, событие будет или не будет содержать определенные поля, описывающие характеристики родительского и дочернего элементов. Например, если тип события связан с созданием папки, то поля, связанные с событием, будут описывать характеристики родительского процесса (вредоносная программа или нет, путь процесса, мета-данные процесса и пр.), а также характеристики дочернего процесса. Впрочем, в этом случае, раз мы имеем дело с папкой, некоторые поля события будут пустыми.

    Внутренняя структура пассивных событий

    Речь идет про события, которые в большинстве случаев не имеют четко определенного родительского или дочернего процесса. К пассивным событиям, например, относятся генерация оповещений при обнаружении вредоносной программы, или установка/изменение/удаление агента Adaptive Defense 360.

    Родительские и дочерние префиксы

    Активные процессы, включающие два файла или процесса, показывают префиксы Parent и Child, чтобы показать, какая информация к какому относится процессу:

    Parent: Поля, начинающие с тега Parent, описывают атрибут родительского процесса
    Child: Поля, начинающие с тега Child, описывают атрибут дочернего процесса

    Другие префиксы и аффиксы

    Многие поля и значения используют аббревиатуры. Зная их значение, гораздо легче интерпретировать рассматриваемое поле:

    Sig: Цифровая подпись
    Exe and pe: Исполняемый файл
    Mw: Вредоносная программа
    Sec: Секунды
    Op: Операция
    Cat: Категория
    PUP: Потенциально нежелательная программа
    Ver: Версия
    SP: Сервис пак
    Cfg: Конфигурация
    Cmp and comp: Заархивированный файл
    Dst: Пункт назначения

    Описание полей


    Ниже представлена информация о доступных полях с теми данными, которые они содержат.
    action (number): Действие, которое предпринял агент Adaptive Defense

    • Разрешить
    • Блокировать
    • Ожидание блокировки

    alertType (number): Категория угрозы, которая вызвала оповещение
    • Вредоносная программа
    • ПНП
    • Экплойт

    broken (Boolean): Файл поврежден или неисправен

    cat (number): Категория файла, который выполнил описываемую операцию
    • Невредоносная программа
    • Вредоносная программа
    • ПНП
    • Неизвестно
    • Мониторинг

    childBroken (Boolean): Дочерний процесс поврежден или неисправен

    childCat (number): Категория дочернего файла, который выполнил описываемую операцию
    • Невредоносная программа
    • Вредоносная программа
    • ПНП
    • Неизвестно
    • Мониторинг

    childCompany (string): Содержание атрибута Company в мета-данных дочернего процесса
    childDriveType (number): Тип диска, на котором находится дочерний процесс/файл, который выполнил описываемую операцию

    • Фиксированный
    • Удаленный
    • Съемный

    childExeType (number): Внутренняя структура/тип исполняемого файла

    • Delphi
    • DOTNET
    • VisualC
    • VB
    • CBuilder
    • Mingw
    • Mssetup
    • Setupfactory
    • Lcc32
    • Vc7setupproject
    • Unknown

    childHash (MD5): Хэш дочернего процесса
    childImageType (number): Внутренняя архитектура дочернего процесса

    • EXEx32
    • EXEx64
    • DLLx32
    • DLLx64

    childMwname (string): Название вредоносной программы, если дочерний процесс классифицирован как угроза
    • Null: объект не является вредоносной программой

    childPath (path string): Путь к дочернему файлу, который выполнил описываемую операцию
    childPrevalence (number): Частота появления дочернего процесса в системах Panda Security за их время существования

    • Высокая
    • Средняя
    • Низкая

    childPrevLastDay (number): Частота появления дочернего процесса в системах Panda Security за предыдущий день
    childValidSig (Boolean): Дочерний процесс имеет цифровую подпись
    clientCat (number): Категория объекта, хранящаяся в кеше агента Adaptive Defense

    • Goodware
    • Malware
    • PUP
    • Unknown
    • Monitoring

    clientId (number): ID пользователя
    company (string): Содержимое атрибута Company в мета-данных процесса
    companyName (string): Содержимое атрибута Company в мета-данных уязвимого файла
    date (date): Дата с компьютера пользователя, когда было сгенерировано событие
    direction (number): Направление сетевого соединения

    • Исходящее
    • Входящее
    • Двунаправленное
    • Неизвестно

    driveType (number): Тип диска, на котором находится процесс/файл, который выполнил описываемую операцию

    • Фиксированный
    • Удаленный
    • Съемный

    dstIp (IP address): IP-адрес получателя соединения
    dstIp6 (IPv6 address): IPv6-адрес получателя соединения
    dstPort (range 0-65535): Порт получателя соединения
    dwellTimeSecs (seconds): Время в секундах с момента первого наблюдения угрозы в сети пользователя
    executionStatus (number): Показывает, была ли запущена обнаруженная угроза

    • Запущена
    • Не запущена

    exeType (number): Внутренняя структура/тип исполняемого файла
    • Delphi
    • DOTNET
    • VisualC
    • VB
    • CBuilder
    • Mingw
    • Mssetup
    • Setupfactory
    • Lcc32
    • Vc7setupproject
    • Неизвестно

    fileName (string): Название уязвимого файла
    filePath (string): Полный путь к уязвимому файлу
    fileVersion (string): Содержимое атрибута Version в мета-данных уязвимого файла
    hash (MD5): Хэш файла
    imageType (number): Внутренняя архитектура процесса

    • EXEx32
    • EXEx64
    • DLLx32
    • DLLx64

    internalName (string): Содержимое атрибута Name в мета-данных уязвимого файла
    itemHash (MD5 string): Хэш найденной угрозы или уязвимой программы
    itemName (string): Название обнаруженной угрозы
    itemPath (path string): Полный путь к файлу, который содержит угрозу
    key (string): Ветка или ключ пострадавшего реестра
    localCat (number): Категория объекта, рассчитанная агентом Adaptive Defense

    • Goodware
    • Malware
    • PUP
    • Unknown
    • Monitoring

    loggedUser (string): Пользователь, авторизованный в системе во время генерации события
    machine: Название компьютера пользователя, который выполнил описываемую операцию
    machineIP (IP address): IP-адрес компьютера пользователя, который выполнил описываемую операцию
    machineIP1 (IP address): IP-алиас компьютера пользователя, который выполнил описываемую операцию
    machineIP2 (IP address): IP-алиас компьютера пользователя, который выполнил описываемую операцию
    machineIP3 (IP address): IP-алиас компьютера пользователя, который выполнил описываемую операцию
    machineIP4 (IP address): IP-алиас компьютера пользователя, который выполнил описываемую операцию
    machineIP5 (IP address): IP-алиас компьютера пользователя, который выполнил описываемую операцию
    machineName (string): Название компьютера пользователя, который выполнил описываемую операцию
    muid (String, формат: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx): Внутренний ID компьютера клиента
    numCacheClassifiedElements (number): Количество объектов, классифицированных в кеше Adaptive Defense
    mwName (string): Название вредоносного образца, если объект каталогизирован как угроза

    Null: The item is not malware
    op (number): Операция, выполненная процессом
    • Install
    • Uninstall
    • Upgrade
    • CreateDir
    • Exec
    • CreatePE
    • DeletePE
    • LoadLib
    • OpenCmp
    • RenamePE
    • CreateCmp

    osPlatform (number): Платформа операционной системы, установленной на компьютере пользователя

    • WIN32
    • WIN64

    osSP (string): Сервис-пак операционной системы, установленной на компьютере пользователя
    osVer (string): Версия операционной системы, установленной на компьютере пользователя
    path (path string): Путь к объекту, который выполнил описываемую операцию
    params (string): Параметры выполнения процесса
    parentBroken (Boolean): Родительский процесс поврежден или неисправен
    parentCat (number): Категория родительского файла, который выполнил описываемую операцию

    • Невредоносная программа
    • Вредоносная программа
    • ПНП
    • Неизвестно
    • Мониторинг

    parentCompany (string): Содержимое атрибута Company в мета-данных родительского процесса

    parentDriveType (number): Тип диска, на котором находится родительский процесс /файл, который выполнил описываемую операцию

    • Фиксированный
    • Удаленный
    • Съемный

    parentExeType (number): Внутренняя структура/тип родительского процесса

    • Delphi
    • DOTNET
    • VisualC
    • VB
    • CBuilder
    • Mingw
    • Mssetup
    • Setupfactory
    • Lcc32
    • Vc7setupproject
    • Неизвестно

    parentHash (MD5): Хэш родительского процесса
    parentImageType (number): Внутренняя архитектура родительского процесса

    • EXEx32
    • EXEx64
    • DLLx32
    • DLLx64

    parentMwname (string): Название вредоносной программы, если родительский процесс классифицирован как угроза

    • Null: Объект не является вредоносной программой
    parentPath (path string): Путь к родительскому файлу, который выполнил описываемую операцию

    parentPrevalence (number): Частота появления родительского процесса в системах Panda Security за их время существования

    • Высокая
    • Средняя
    • Низкая

    parentPrevLastDay (number): Частота появления родительского процесса в системах Panda Security за предыдущий день

    parentValidSig (Boolean): Родительский процесс имеет цифровую подпись

    Port (0-65535): Коммуникационный порт, используемый процессом
    Prevalence (number): Частота появления процесса в системах Panda Security за их время существования

    • Высокая
    • Средняя
    • Низкая

    prevLastDay (number): Частота появления процесса в системах Panda Security за предыдущий день

    • Высокая
    • Средняя
    • Низкая

    productVersion (string): Содержимое атрибута ProductVersion в мета-данных уязвимого файла
    protocol (number): Коммуникационный протокол, используемый процессом

    • TCP
    • UDP
    • ICMP
    • ICMPv6
    • IGMP
    • RF

    regAction (number): Тип операции, выполненной в реестра компьютера
    • CreateKey
    • CreateValue
    • ModifyValue

    regKey (string): Ключ реестра
    responseCat (number): Категория файла, возвращенная облаком

    • Неизвестно = 0
    • Невредоносная программа = 1
    • Вредоносная программа = 2
    • Подозрительный файл = 3
    • Скомпрометированный файл =4
    • Неподтвержденная невредоносная программа = 5
    • ПНП = 6
    • Нежелательная невредоносная программа = 7

    serverdate: Дата с компьютера пользователя, когда было сгенерировано событие
    serviceDriveType (number): Тип диска, на котором находится драйвер, получивший действие
    sonFirstSeen (date): Время первого обнаружения объекта, который вызвал появление всплывающего сообщения
    sonLastQuery (date): Время, когда процесс, вызвавший появление всплывающего сообщения на компьютере пользователя, в последний раз отправил запрос в облако
    targetPath (path string): Путь к исполняемому файлу, на который ссылается ветка реестра
    toastResult (number): Реакция пользователя на всплывающее сообщение, показанное решением Adaptive Defense

    • OK: Пользователь принял сообщение
    • Тайм-Аут: Всплывающее сообщение перестало показываться из-за отсутствия действия со стороны пользователя в установленный период времени
    • Пользователь отклонил действие по блокировке
    • Блокировать
    • Разрешить

    user (string): Учетная запись пользователя, используемая процессом, который выполнил описываемую операцию
    url (URL string): URL для скачивания, вызванная процессом, который сгенерировал описываемое событие
    validSig (Boolean): Процесс, подписанный цифровой подписью
    value (string): Название измененного значения в ключе реестра
    valueData (string): Содержимое значения ключа реестра
    ver (string): Версия агента Adaptive Defense
    version (string): Версия агента Adaptive Defense
    winningTech (number): Технология, которая сгенерировала событие

    • Неизвестно
    • Cache
    • Cloud
    • Context
    • Serializer
    • User
    • Legacyuser
    • Netnative
    • certifUA

    Заключение


    Adaptive Defense 360 способен автоматически и практически в реальном времени передавать в стороннюю SIEM-систему огромный объем информации обо всех процессах, отслеживаемых на компьютерах в корпоративной сети. В свою очередь, SIEM-система позволяет мгновенно предоставлять обработанную экспертную информацию в удобоваримом виде, чтобы пользователь мог принимать эффективные решения по противодействию вредоносным и несанкционированным действиям, минимизации рисков безопасности и предотвращению утечки корпоративных данных. Кроме того, SIEM-системы могут использоваться для тщательного расследования инцидентов информационной безопасности, чтобы установить, что, где, когда, как и с кем произошло.

    Впрочем, даже если на предприятии уже имеется корпоративный антивирус, то отдельный продукт Adaptive Defense может использоваться в качестве «сборщика» огромного объема первичной информации с последующей ее автоматической выгрузкой в SIEM без влияния на производительность компьютеров. При том, что Adaptive Defense будет еще крайне полезен в качестве «защитника» от неизвестных угроз, направленных атак и шифровальщиков, работая параллельно имеющемуся корпоративному антивирусу.

    В огромном потоке информации сложно оперативно фиксировать и отслеживать все, что необходимо. И в этом плане интеграция корпоративного антивируса с SIEM-системой может здорово помочь.

    Предлагаем оценить возможности Adaptive Defense 360 с помощью демо-консоли (без необходимости установки продукта).

    Демо-консоль предназначена для демонстрации Panda Adaptive Defense 360, в котором уже имеется определенная информация по настройкам пользователей, профилей и т.д., что позволяет оценить консоль в режиме, максимально приближенном к реальной работе.

    Доступ к демо-консоли: demologin.pandasecurity.com
    Логин: DRUSSIAN_FEDERATION_C13@panda.com
    Пароль: DRUSSIAN#123

    Примечание: Сброс изменений в настройках продуктов, которые осуществлены при просмотре демо-консоли, происходит ежедневно.
    Panda Security в России и СНГ
    77.73
    Облачные решения безопасности, антивирусы
    Share post

    Comments 1

      0
      А что за софтина такая красивая с графиками на фотографии в шапке?

      Only users with full accounts can post comments. Log in, please.