Продолжаем рассматривать примеры интеграции корпоративного антивируса с SIEM-системами. На этот раз поговорим о возможностях экспорта информации из антивируса в любую стороннюю SIEM-систему.
В первой части данной статьи мы уже рассказывали о том, что такое SIEM, для чего она нужна и какие она предоставляет преимущества для экспертного анализа событий, связанных с информационной безопасностью. Если вкратце, то SIEM-система позволяет собирать огромный объем первичной информации от других приложений и систем безопасности (например, файервол, антивирус, IDS/IPS и пр.), систем идентификации и управления доступом, операционной системы, баз данных и пр. для обработки этих данных на предмет взаимосвязи между собой (корреляция) и предоставления их в удобном для просмотра и анализа виде.
В последнее время о SIEM-системах стали говорить все чаще, тем более, что для определенных компаний и организаций наличие собственной SIEM-системы становится не только актуальным, но и обязательным условием.
Чтобы SIEM-система предоставляла максимально обширную и полную информацию, необходимо, чтобы как можно больше устройств, объектов и приложений «поставляли» ей первичную информацию. Понятно, что корпоративный антивирус здесь один из основных поставщиков данных. Но как его интегрировать с SIEM-системой?
Рассмотрим данный вопрос на примере облачного корпоративного антивируса Panda Adaptive Defense 360. В первой части статьи мы рассмотрели вариант интеграции антивируса с собственной упрощенной SIEM-системой Advanced Reporting Tool. Во второй части статьи рассмотрим ситуацию, когда необходимо интегрировать антивирус со сторонней SIEM-системой (у пользователя уже имеется собственная SIEM-система или планируется приобретение конкретной системы).
SIEMFeeder
Что такое SIEMFeeder
SIEMFeeder – это специальный сервис, разработанный в компании Panda Security, для передачи информации и знаний из корпоративного антивируса Adaptive Defense 360 в корпоративную SIEM-платформу сторонних производителей.
Основная цель этого сервиса – обогащение корпоративной SIEM-платформы детальной информацией об активности каждого процесса, запущенного на корпоративных компьютерах. В результате этого системный администратор может получить беспрецедентную видимость всего, что происходит в корпоративной сети. SIEMFeeder облегчает обнаружение неизвестных угроз, направленных атак для кражи конфиденциальной корпоративной информации, постоянных угроз повышенной сложности (APT).
Архитектура SIEMFeeder
SIEMFeeder собирает информацию об активности каждого приложения и процесса, запущенного в корпоративной сети, благодаря непрерывному мониторингу всей сети со стороны корпоративного антивируса Adaptive Defense 360. Эта информация в облачной платформе Panda с Большими данными автоматически анализируется с помощью технологий искусственного интеллекта для генерации специальных знаний безопасности. В результате этого классифицируется каждый процесс, запускаемый на каждом компьютере в сети предприятия с точностью порядка 99,999% и практически с нулевым уровнем ложных срабатываний. После этого SIEMFeeder передает весь этот поток информации на корпоративный SIEM-сервер.
Причем для получения максимальной отдачи от SIEMFeeder не требуется вносить какие-либо изменения в настройки компьютеров корпоративной сети: сервис работает внутри инфраструктуры Panda Security.
Информационный поток выглядит следующим образом:
• Компьютеры в корпоративной сети, защищенные с помощью Adaptive Defense 360, автоматически отправляют информацию о каждом запущенном процессе в облако Panda
• Облако Panda принимает информацию, обрабатывает ее и дополняет специальными знаниями безопасности
• Сервис SIEMFeeder принимает информацию от облака Panda и инкапсулирует ее в форму логов, которые затем передаются пользователю
• sFTP-сервер в корпоративной сети принимает логи от SIEMFeeder для временного хранения с последующей передачей на SIEM-сервер
Кроме этого, в архитектуре присутствуют файерволы на периметре корпоративной сети и локально на компьютерах в сети для защиты входящего и исходящего трафиков.
Требования к внедрению и интеграции
Чтобы корректно внедрить интеграцию корпоративного антивируса с SIEM-системой в рамках рассматриваемого примера, необходимо учитывать следующие требования:
• требования по внедрению
• требования к SIEM-системе
Требования по внедрению
Для внедрения и использования SIEMFeeder необходимо:
• компьютеры, на которых установлено корпоративное решение безопасности Adaptive Defense 360
• активная лицензия на SIEMFeeder
• sFTP-сервер
• корректно настроенный файервол (встроенный в Adaptive Defense 360 или сторонний)
• достаточная пропускная способность канала связи для получения данных
sFTP-сервер
В корпоративной сети необходимо установить sFTP-сервер со следующими характеристиками:
• он должен иметь достаточный объем для хранения информации, которая поступает с SIEMFeeder. Примерный объем: 2 МБ с каждого компьютера в день
• sFTP-сервер должен поддерживать до 10 одновременных подключений с одинаковой учетной записью
• подключение учетных записей с проверкой подлинности на основе паролей
• время, по прошествии которого отключается подключение для передачи данных в том случае, если отсутствует трафик данных: 20 минут
Настройка файервола
Чтобы установить соединение между SIEMFeeder и sFTP-сервером, все промежуточные файерволы должны разрешать сетевой трафик со следующими характеристиками:
• доступ через порт 22 на sFTP-сервер
• доступ с IP-адреса 91.216.218.191
• протокол транспортного уровня: TCP
• протокол уровня приложения: SSH
• Тип соединения: входящий трафик в корпоративную сеть
Требования к SIEM-системе
Поддерживаемые SIEM-системы
Для совместимости SIEM-системы с SIEMFeeder, необходимо, чтобы она поддерживала следующие форматы логов: ArcSight Common Event Format (CEF) и QRadar Log Event Extended Format (LEEF).
SIEMFeeder может отправлять данные в любом из этих двух форматов (CEF или LEEF). Ниже представлен ограниченный список SIEM-серверов, которые совместимы с вышеупомянутыми форматами (для примера):
• AlienVault Unified Security Management (USM)
• Fortinet (AccelOps) FortiSIEM
• Hewlett Packard Enterprise (HPE) ArcSight
• QRadar Security Intelligence Platform (IBM)
• McAfee Enterprise Security Manager (ESM) (Intel Security)
• LogRhythm
• SolarWinds Log & Event Manager (LEM)
• Splunk Security Intelligence Platform
Конфигурация SIEM-сервера
Чтобы корректно настроить SIEM-сервер, необходимо импортировать sFTP-сервер в качестве источника данных и правильно сопоставлять события и поля, получаемые от SIEMFeeder (более подробно о передаваемых данных смотрите ниже).
Доступность SIEMFeeder
Сервис SIEMFeeder доступен круглосуточно в формате 24/7. О любых возможных паузах в работе этого сервиса будет предварительно сообщено администратору.
Чтобы предотвратить потерю данных в случае сбоя, недоступности sFTP-сервера пользователя или в результате любых других ошибок, Panda Security сохраняет логи, генерируемые SIEMFeeder до тех пор, пока они не будут переданы пользователю (в течение разумного периода времени).
Передаваемые события и данные
SIEMFeeder трансформирует информацию, получаемую с корпоративного антивируса Adaptive Defense 360 в события. Таким образом, событие – это основная единица информации, передаваемая SIEMFeeder.
Структура события в SIEMFeeder
Событие состоит из переменного числа пар поле-значение и одного типа/категории события. Пары поле-значение зависят от типа события.
Кроме того, в событие добавляется преамбула с информацией, необходимой для инкапсуляции события в лог-файл, совместимый с CEF или LEEF. Данная информация позволяет SIEM корректно идентифицировать события в виде совместимых логов и включить их в свой репозиторий.
Группа событий
Лог-файл – это группа событий, передаваемых в SIEM-сервер. Эти лог-файлы, генерируемые SIEMFeeder, имеют различные размеры и могут содержать одно или несколько событий, относящихся к различным категориям. Кроме того, события, включенные в один лог-файл, могут содержать информацию от одного или нескольких компьютеров пользователя.
Последовательности и задержки в получении информации
Максимальный объем времени, который может пройти с момента, когда на компьютере пользователя произойдет событие, до момента доставки информации о нем в SIEM-систему, составляет 20 минут. Агенты Adaptive Defense 360 взаимодействуют с облаком каждые 10 минут, после чего данные обрабатываются в облаке и дополняются специальными знаниями безопасности, трансформируются в лог-файл и с помощью SIEMFeeder отправляются в SIEM-систему пользователя.
SIEMFeeder не отправляет лог-файлы в заранее определенной последовательности. Однако все логи содержат метку времени, что позволяет SIEM-серверу точно «расставить» события на временной шкале.
Формат CEF-файла SIEMFeeder
Как мы упоминали ранее, SIEMFeeder может отправлять информацию в двух форматах: CEF или LEEF.
CEF-формат содержит две секции данных: префикс или преамбулу, которая идентифицирует категорию события, и секцию расширений с полями и значениями. При этом SIEMFeeder не включает syslog-заголовок в логи в формате CEF. Пример:
CEF:1|Panda Security|paps|02.43.00.0000|registryc|1|
ClientId=Date=2016-11-04 23:47:49.000087 MachineName=WIN-JNTIXXX MachineIP=xxx.219.203.xx User=NT AUTHORITY\LOCAL SERVICE MUID=33432C7635XXXX1ECE94F666D12XXXXX Op=CreateExeKey Hash=C78655BC80301D76ED4FEF1C1EA40A7D DriveType=Fixed Path=SYSTEM|\svchost.exe ValidSig= Company=Microsoft Corporation Broken=true ImageType=EXE 64 ExeType=Unknown Prevalence=High PrevLastDay=Low HeurFI=67108872 Skeptic= AVDets=0 JIDFI=3431976 1NFI=132943 JIDMW=11197481 1NMW=5153723 Class=100 Cat=Goodware MWName= TargetPath=0|pune.com RegKey=\REGISTRY\ MACHINE\SYSTEM\ ControlSet001\ services\Tcpip\Parameters?DhcpDomain
Префикс
CEF:1|Panda Security|paps|02.43.00.0000|registryc|1|
• CEF version (CEF:1): Идентификатор формата и версии лога
• Device vendor (Panda Security): Название сервис-провайдера
• Product (paps): Внутреннее название ПО или устройства
• Signature ID (2.43.00.0000): Версия защиты, которая генерирует событие
• Name (registryc): Тип отправленного события
• Severity (1): Критичность события. Данное значение всегда равно “1”, за исключением событий с типом оповещения (alertmalware, alertpup, exploits). Более подробно о типах событий мы скажем ниже.
Расширения
Секция расширений содержит различные поля с различной информацией в зависимости от поля Name (тип события).
Кодировка
Все лог-файлы, отпраляемые SIEMFeeder, используют кодировку UTF-8.
Формат LEEF-файла SIEMFeeder
LEEF-формат содержит две секции данных: LEEF-заголовок, который идентифицирует категорию события, и секцию атрибутов, которая содержит информацию о событии в виде полей и значений. При этом SIEMFeeder не включает syslog-заголовок в логи в формате LEEF.
Пример:
LEEF:1.0|Panda Security|paps|02.43.00.0000|registryc|sev=1 devTime=2016-09-22 15:25:11.000628 devTimeFormat=yyyy-MM-dd HH:mm:ss.SSS usrName=LOCAL SERVICE domain=NT AUTHORITY src=10.219.202.149 identSrc=10.219.202.149 identHostName=PXE68XXX HostName= PXE68XXX MUID=1F109BA4E0XXXX37F9995D31FXXXX319 Op=CreateExeKey Hash=C78655BC80301D76ED4FEF1C1EA40A7D DriveType=Fixed Path=SYSTEM|\svchost.exe ValidSig= Company=Microsoft Corporation Broken=true ImageType=EXE 64 ExeType=Unknown Prevalence=High PrevLastDay=Low HeurFI=67108872 Skeptic= AVDets=0 JIDFI=3431993 1NFI=116241 JIDMW=11195630 1NMW=4308325 Class=100 Cat=Goodware MWName= TargetPath=0|pune.com RegKey=\ REGISTRY\ MACHINE\ SYSTEM\ ControlSet001\services\Tcpip\Parameters?DhcpDomain
Заголовок
LEEF:1.0|Panda Security|paps|02.43.00.0000|registryc|
• LEEF version (LEEF:1): Идентификатор формата и версии лога
• Vendor (Panda Security): Название сервис-провайдера
• Product (paps): Внутреннее название ПО или устройства
• Version ID (2.43.00.0000): Версия защиты, которая генерирует событие
• Event Description ID (registryc): Тип отправленного события
В лог-файлах в формате LEEF параметр события Severity не передается в заголовке, но он указывается в секции с атрибутами (поле «Sev=number»)
Секция атрибутов
Секция атрибутов содержит различные поля с различной информацией в зависимости от типа события.
Категории событий
Тип получаемого события отображается в поле Name в секции префикса (формат CEF), либо в поле Event Description ID в заголовке (формат LEEF).
Ниже представлен список всех возможных событий с пояснениями их значений, сгруппированных по типу:
Внедрение агента Adaptive Defense 360
• install: установка агента
• upgrade: апгрейд агента
• uninstalll: деинсталляция агента
Создание оповещения
• alertpup: Оповещение, создаваемое после обнаружения потенциально нежелательной программы (ПНП)
• alertmalware: Оповещение, создаваемое после обнаружения образца вредоносной программы
• exploits: Оповещение, создаваемое после обнаружения экплойта
Изменения в операционной системе пользователя
• hostfiles: Файл hosts был изменен
• monitoredregistry: Доступ с правами чтения к реестру компьютера
• registrym: Изменение ветки в реестре для того, чтобы указывать на исполняемый файл
• registryc: Создание ветки в реестре, указывающей на исполняемый файл
Обработка процесса
• createremotethread: Создан тред удаленного запуска
• createprocess: Создан процесс
• exec: Процесс выполнен
• createpe: Создана исполняемая программа
• modifype: Изменен исполняемый файл
• renamepe: Переименован исполняемый файл
• deletepe: Удалена исполняемая программа
• loadlib: Загружена библиотека
Скачивание файла
• urldownload: Скачен файл
Доступ к данным
• createcmp: Создан заархивированный файл
• opencmp: Открыт заархивированный файл
• monitoredopen: Доступ к контролируемым файлам с данными
• createdir: Создана папка в файловой системе
• socket: Установлено сетевое соединение
Информация о блокировке
• toast: Adaptive Defense показал всплывающее сообщение
• notBlocked: Соответствующий файл не был просканирован во время загрузки
• toastBlocked: Active Defense показал всплывающее сообщение после блокировки неизвестного файла
Структура события и синтаксис полей
SIEMFeeder описывает каждое отправляемое событие с помощью пары поле-значение. События в SIEMFeeder разделены на два типа: активные события и пассивные события.
Внутренняя структура активных событий
Большинство получаемых событий описывают ситуации, в которых родительский процесс выполняет действие на дочерний процесс. Тип элемента, который получает действие, варьируется в зависимости от категории события. Таким образом, в качестве дочернего элемента может быть:
• Другой процесс: В событиях, где скачивается/загружается процесс, загружается библиотека и т.д.
• Исполняемый файл: В событиях, где создается, изменяется, удаляется программа
• Системный файл: В событиях, где осуществляются манипуляции с файлом hosts, реестром
• Файл с данными: В событиях, где осуществляется доступ к файлам Office, базам данных и пр.
• Скачиваемый файл: В событиях, где процесс скачивает данные
• Заархивированный файл: В событиях, где создается, изменяется, удаляется заархивированный файл
• Папка: В событиях, где создается, изменяется, удаляется папка
В зависимости от своего типа, событие будет или не будет содержать определенные поля, описывающие характеристики родительского и дочернего элементов. Например, если тип события связан с созданием папки, то поля, связанные с событием, будут описывать характеристики родительского процесса (вредоносная программа или нет, путь процесса, мета-данные процесса и пр.), а также характеристики дочернего процесса. Впрочем, в этом случае, раз мы имеем дело с папкой, некоторые поля события будут пустыми.
Внутренняя структура пассивных событий
Речь идет про события, которые в большинстве случаев не имеют четко определенного родительского или дочернего процесса. К пассивным событиям, например, относятся генерация оповещений при обнаружении вредоносной программы, или установка/изменение/удаление агента Adaptive Defense 360.
Родительские и дочерние префиксы
Активные процессы, включающие два файла или процесса, показывают префиксы Parent и Child, чтобы показать, какая информация к какому относится процессу:
• Parent: Поля, начинающие с тега Parent, описывают атрибут родительского процесса
• Child: Поля, начинающие с тега Child, описывают атрибут дочернего процесса
Другие префиксы и аффиксы
Многие поля и значения используют аббревиатуры. Зная их значение, гораздо легче интерпретировать рассматриваемое поле:
• Sig: Цифровая подпись
• Exe and pe: Исполняемый файл
• Mw: Вредоносная программа
• Sec: Секунды
• Op: Операция
• Cat: Категория
• PUP: Потенциально нежелательная программа
• Ver: Версия
• SP: Сервис пак
• Cfg: Конфигурация
• Cmp and comp: Заархивированный файл
• Dst: Пункт назначения
Описание полей
Ниже представлена информация о доступных полях с теми данными, которые они содержат.
action (number): Действие, которое предпринял агент Adaptive Defense
• Разрешить
• Блокировать
• Ожидание блокировки
alertType (number): Категория угрозы, которая вызвала оповещение
• Вредоносная программа
• ПНП
• Экплойт
broken (Boolean): Файл поврежден или неисправен
cat (number): Категория файла, который выполнил описываемую операцию
• Невредоносная программа
• Вредоносная программа
• ПНП
• Неизвестно
• Мониторинг
childBroken (Boolean): Дочерний процесс поврежден или неисправен
childCat (number): Категория дочернего файла, который выполнил описываемую операцию
• Невредоносная программа
• Вредоносная программа
• ПНП
• Неизвестно
• Мониторинг
childCompany (string): Содержание атрибута Company в мета-данных дочернего процесса
childDriveType (number): Тип диска, на котором находится дочерний процесс/файл, который выполнил описываемую операцию
• Фиксированный
• Удаленный
• Съемный
childExeType (number): Внутренняя структура/тип исполняемого файла
• Delphi
• DOTNET
• VisualC
• VB
• CBuilder
• Mingw
• Mssetup
• Setupfactory
• Lcc32
• Vc7setupproject
• Unknown
childHash (MD5): Хэш дочернего процесса
childImageType (number): Внутренняя архитектура дочернего процесса
• EXEx32
• EXEx64
• DLLx32
• DLLx64
childMwname (string): Название вредоносной программы, если дочерний процесс классифицирован как угроза
• Null: объект не является вредоносной программой
childPath (path string): Путь к дочернему файлу, который выполнил описываемую операцию
childPrevalence (number): Частота появления дочернего процесса в системах Panda Security за их время существования
• Высокая
• Средняя
• Низкая
childPrevLastDay (number): Частота появления дочернего процесса в системах Panda Security за предыдущий день
childValidSig (Boolean): Дочерний процесс имеет цифровую подпись
clientCat (number): Категория объекта, хранящаяся в кеше агента Adaptive Defense
• Goodware
• Malware
• PUP
• Unknown
• Monitoring
clientId (number): ID пользователя
company (string): Содержимое атрибута Company в мета-данных процесса
companyName (string): Содержимое атрибута Company в мета-данных уязвимого файла
date (date): Дата с компьютера пользователя, когда было сгенерировано событие
direction (number): Направление сетевого соединения
• Исходящее
• Входящее
• Двунаправленное
• Неизвестно
driveType (number): Тип диска, на котором находится процесс/файл, который выполнил описываемую операцию
• Фиксированный
• Удаленный
• Съемный
dstIp (IP address): IP-адрес получателя соединения
dstIp6 (IPv6 address): IPv6-адрес получателя соединения
dstPort (range 0-65535): Порт получателя соединения
dwellTimeSecs (seconds): Время в секундах с момента первого наблюдения угрозы в сети пользователя
executionStatus (number): Показывает, была ли запущена обнаруженная угроза
• Запущена
• Не запущена
exeType (number): Внутренняя структура/тип исполняемого файла
• Delphi
• DOTNET
• VisualC
• VB
• CBuilder
• Mingw
• Mssetup
• Setupfactory
• Lcc32
• Vc7setupproject
• Неизвестно
fileName (string): Название уязвимого файла
filePath (string): Полный путь к уязвимому файлу
fileVersion (string): Содержимое атрибута Version в мета-данных уязвимого файла
hash (MD5): Хэш файла
imageType (number): Внутренняя архитектура процесса
• EXEx32
• EXEx64
• DLLx32
• DLLx64
internalName (string): Содержимое атрибута Name в мета-данных уязвимого файла
itemHash (MD5 string): Хэш найденной угрозы или уязвимой программы
itemName (string): Название обнаруженной угрозы
itemPath (path string): Полный путь к файлу, который содержит угрозу
key (string): Ветка или ключ пострадавшего реестра
localCat (number): Категория объекта, рассчитанная агентом Adaptive Defense
• Goodware
• Malware
• PUP
• Unknown
• Monitoring
loggedUser (string): Пользователь, авторизованный в системе во время генерации события
machine: Название компьютера пользователя, который выполнил описываемую операцию
machineIP (IP address): IP-адрес компьютера пользователя, который выполнил описываемую операцию
machineIP1 (IP address): IP-алиас компьютера пользователя, который выполнил описываемую операцию
machineIP2 (IP address): IP-алиас компьютера пользователя, который выполнил описываемую операцию
machineIP3 (IP address): IP-алиас компьютера пользователя, который выполнил описываемую операцию
machineIP4 (IP address): IP-алиас компьютера пользователя, который выполнил описываемую операцию
machineIP5 (IP address): IP-алиас компьютера пользователя, который выполнил описываемую операцию
machineName (string): Название компьютера пользователя, который выполнил описываемую операцию
muid (String, формат: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx): Внутренний ID компьютера клиента
numCacheClassifiedElements (number): Количество объектов, классифицированных в кеше Adaptive Defense
mwName (string): Название вредоносного образца, если объект каталогизирован как угроза
• Null: The item is not malware
op (number): Операция, выполненная процессом
• Install
• Uninstall
• Upgrade
• CreateDir
• Exec
• CreatePE
• DeletePE
• LoadLib
• OpenCmp
• RenamePE
• CreateCmp
osPlatform (number): Платформа операционной системы, установленной на компьютере пользователя
• WIN32
• WIN64
osSP (string): Сервис-пак операционной системы, установленной на компьютере пользователя
osVer (string): Версия операционной системы, установленной на компьютере пользователя
path (path string): Путь к объекту, который выполнил описываемую операцию
params (string): Параметры выполнения процесса
parentBroken (Boolean): Родительский процесс поврежден или неисправен
parentCat (number): Категория родительского файла, который выполнил описываемую операцию
• Невредоносная программа
• Вредоносная программа
• ПНП
• Неизвестно
• Мониторинг
parentCompany (string): Содержимое атрибута Company в мета-данных родительского процесса
parentDriveType (number): Тип диска, на котором находится родительский процесс /файл, который выполнил описываемую операцию
• Фиксированный
• Удаленный
• Съемный
parentExeType (number): Внутренняя структура/тип родительского процесса
• Delphi
• DOTNET
• VisualC
• VB
• CBuilder
• Mingw
• Mssetup
• Setupfactory
• Lcc32
• Vc7setupproject
• Неизвестно
parentHash (MD5): Хэш родительского процесса
parentImageType (number): Внутренняя архитектура родительского процесса
• EXEx32
• EXEx64
• DLLx32
• DLLx64
parentMwname (string): Название вредоносной программы, если родительский процесс классифицирован как угроза
• Null: Объект не является вредоносной программой
parentPath (path string): Путь к родительскому файлу, который выполнил описываемую операцию
parentPrevalence (number): Частота появления родительского процесса в системах Panda Security за их время существования
• Высокая
• Средняя
• Низкая
parentPrevLastDay (number): Частота появления родительского процесса в системах Panda Security за предыдущий день
parentValidSig (Boolean): Родительский процесс имеет цифровую подпись
Port (0-65535): Коммуникационный порт, используемый процессом
Prevalence (number): Частота появления процесса в системах Panda Security за их время существования
• Высокая
• Средняя
• Низкая
prevLastDay (number): Частота появления процесса в системах Panda Security за предыдущий день
• Высокая
• Средняя
• Низкая
productVersion (string): Содержимое атрибута ProductVersion в мета-данных уязвимого файла
protocol (number): Коммуникационный протокол, используемый процессом
• TCP
• UDP
• ICMP
• ICMPv6
• IGMP
• RF
regAction (number): Тип операции, выполненной в реестра компьютера
• CreateKey
• CreateValue
• ModifyValue
regKey (string): Ключ реестра
responseCat (number): Категория файла, возвращенная облаком
• Неизвестно = 0
• Невредоносная программа = 1
• Вредоносная программа = 2
• Подозрительный файл = 3
• Скомпрометированный файл =4
• Неподтвержденная невредоносная программа = 5
• ПНП = 6
• Нежелательная невредоносная программа = 7
serverdate: Дата с компьютера пользователя, когда было сгенерировано событие
serviceDriveType (number): Тип диска, на котором находится драйвер, получивший действие
sonFirstSeen (date): Время первого обнаружения объекта, который вызвал появление всплывающего сообщения
sonLastQuery (date): Время, когда процесс, вызвавший появление всплывающего сообщения на компьютере пользователя, в последний раз отправил запрос в облако
targetPath (path string): Путь к исполняемому файлу, на который ссылается ветка реестра
toastResult (number): Реакция пользователя на всплывающее сообщение, показанное решением Adaptive Defense
• OK: Пользователь принял сообщение
• Тайм-Аут: Всплывающее сообщение перестало показываться из-за отсутствия действия со стороны пользователя в установленный период времени
• Пользователь отклонил действие по блокировке
• Блокировать
• Разрешить
user (string): Учетная запись пользователя, используемая процессом, который выполнил описываемую операцию
url (URL string): URL для скачивания, вызванная процессом, который сгенерировал описываемое событие
validSig (Boolean): Процесс, подписанный цифровой подписью
value (string): Название измененного значения в ключе реестра
valueData (string): Содержимое значения ключа реестра
ver (string): Версия агента Adaptive Defense
version (string): Версия агента Adaptive Defense
winningTech (number): Технология, которая сгенерировала событие
• Неизвестно
• Cache
• Cloud
• Context
• Serializer
• User
• Legacyuser
• Netnative
• certifUA
Заключение
Adaptive Defense 360 способен автоматически и практически в реальном времени передавать в стороннюю SIEM-систему огромный объем информации обо всех процессах, отслеживаемых на компьютерах в корпоративной сети. В свою очередь, SIEM-система позволяет мгновенно предоставлять обработанную экспертную информацию в удобоваримом виде, чтобы пользователь мог принимать эффективные решения по противодействию вредоносным и несанкционированным действиям, минимизации рисков безопасности и предотвращению утечки корпоративных данных. Кроме того, SIEM-системы могут использоваться для тщательного расследования инцидентов информационной безопасности, чтобы установить, что, где, когда, как и с кем произошло.
Впрочем, даже если на предприятии уже имеется корпоративный антивирус, то отдельный продукт Adaptive Defense может использоваться в качестве «сборщика» огромного объема первичной информации с последующей ее автоматической выгрузкой в SIEM без влияния на производительность компьютеров. При том, что Adaptive Defense будет еще крайне полезен в качестве «защитника» от неизвестных угроз, направленных атак и шифровальщиков, работая параллельно имеющемуся корпоративному антивирусу.
В огромном потоке информации сложно оперативно фиксировать и отслеживать все, что необходимо. И в этом плане интеграция корпоративного антивируса с SIEM-системой может здорово помочь.
Предлагаем оценить возможности Adaptive Defense 360 с помощью демо-консоли (без необходимости установки продукта).
Демо-консоль предназначена для демонстрации Panda Adaptive Defense 360, в котором уже имеется определенная информация по настройкам пользователей, профилей и т.д., что позволяет оценить консоль в режиме, максимально приближенном к реальной работе.
Доступ к демо-консоли: demologin.pandasecurity.com
Логин: DRUSSIAN_FEDERATION_C13@panda.com
Пароль: DRUSSIAN#123
Примечание: Сброс изменений в настройках продуктов, которые осуществлены при просмотре демо-консоли, происходит ежедневно.