Skip to content

Manualul Utilizatorului


Content

1. Introducere

1.1 Scopul documentului

Scopul acestui document este de a descrie funcționalitatea CyberQuest. Următoarele aspecte vor fi tratate: • Descrierea arhitecturii; • Componente funcționale;

1.2 Despre produs

CyberQuest este un produs inovator conceput pentru orice tip de companie care a implementat deja o soluție de "log management evenimente" (SIEM). CyberQuest este un tip de soluție (hardware & software) care poate fi adaptat fie pentru companii mici, fie pentru întreprinderi mai mari. Principalele sale funcționalități sunt date de mai multe module: · Normalizarea informațiilor disponibile de la sistemele SIEM în propriul format prin conectori speciali; · Modul de raportare;
· Modul de investigare (care este scopul principal al aplicației); · Modul de detectare a anomaliilor (activat prin implementarea unei funcționalități AI); · Modul administrativ (asigură funcțiile de configurare și gestionare a aplicației); · Modul de alertare (oferă alerte în timp real pentru situații configurabile, cu acțiuni de răspuns configurabil). · Modul de gestionare a cazurilor; · Modul de sistem de transformare a datelor; · Modul de sistem de ticketing.

1.3 Concept

CyberQuest a fost conceput ca un instrument dedicat pentru investigațiile de securitate efectuate în mod regulat de ofițeri de securitate IT. Rolul său este de a extrage informații. Din punct de vedere arhitectural, CyberQuest conectează și colectează date în timp real din SIEM-urile suportate și le stochează în structura sa proprie. Evident, odată stocate, în funcție de necesitate, politicile de păstrare pot fi configurate pentru a vă asigura că datele inutile nu sunt colectate.

Alt text

Pic.1.3.1: Arhitectura - Surse de date.

Pe plan intern, datele primite sau colectate au următorul flux: Alt text Pic.1.3.2: Fluxul de date primite sau colectate.

1.4 Utilizarea interfeței web

Pașii necesari pentru autentificarea interfeței web: • Stația de lucru trebuie să fie conectată la un port RJ45 din comutatorul sistemului; • Trebuie să fie alocată o adresă IP statică stației de lucru din clasa de rețea 192.168.100.0 (de exemplu 192.168.100.45) și de asemenea o mască de subrețea 255.255.255.0;

Alt text

Pic.1.4.1: Configurare IP.

• În bara de adrese a unui browser web, este necesar să tastați adresa implicită a aplicației: https://192.168.100.1; • Browser-ul vă redirecționează automat către pagina de autentificare pentru CyberQuest;

Alt text

Pic.1.4.2: Consola Web de logare tab

1.5 Autentificarea Utilizatorilor

Interfața de autentificare poate fi realizată în unul din cele două moduri de mai jos: • Utilizarea unui utilizator local definit în aplicație;
• Utilizarea unui utilizator “Active Directory” al unei companii. Această facilitate permite autentificarea utilizatorilor “Active Directory” utilizând un conector care trebuie definit în secțiunea de gestionare a aplicației. Utilizatorul trebuie să aparțină uneia dintre cele două grupuri Active Directory: "CyberQuest Administrators" sau "CyberQuest Users".

Alt text Pic.1.5.1: CyberQuest Web UI

1.6 Controlul accesului pe baza de roluri (RBAC)

Conturile de utilizator create pot fi configurate pentru a accesa componente pe baza rolului de utilizator alocat contului lor. Puteți adăuga sau edita rolurile utilizatorilor și conturile de utilizator după cum este necesar.

Adăugarea sau editarea rolurilor utilizatorului Rolul utilizatorilor este alocat conturilor de utilizator pentru a controla accesul la Consola. Puteți adăuga sau edita rolurile utilizatorului după cum este necesar.

Procedură

a. Conectați-vă la interfața Web.

b. Navigați la Setări, apoi faceți click pe Grupuri.

Alt text Pic.1.6.1: CyberQuest Web UI Panoul de setări

c. Faceți click pe opțiunea Grup nou.

d. Selectați utilizatorul / utilizatorii și atribuițile permisiunile

  • În câmpul Nume, furnizați un nume, cum ar fi permisiunea restricționata de utilizator.

  • În câmpul Utilizator selectați utilizatorii care vor fi afectați de regulile predefinite.

  • În câmpul Permisiuni atribuite, selectați permisiunile corespunzătoare pentru utilizatorii selectați.

  • În câmpul Permisiuni de date, selectați datele corespunzătoare pe care utilizatorii selectați le pot vizualiza pe serverul CyberQuest.

e. Activați grupul selectând opțiunea On din meniul Active

Alt text Pic.1.6.2: CyberQuest Grupuri

Ștergerea grupurilor de utilizatori / Editarea permisiunilor utilizatorului

Rolurile utilizatorilor pot fi șterse dacă nu sunt atribuite utilizatorilor corespunzători.

Procedura de modificare a grupurilor de utilizatori

a. Conectați-vă la interfața Web.

b. Navigați la Setări, apoi faceți click pe Grupuri.

c. Selectați opțiunea "Editare" a grupului care va fi modificat.

Alt text Pic.1.6.3: CyberQuest Gestiunea grupurilor

d. Selectați sau deselectați permisiunile utilizatorului care vor fi modificate.

Alt text Pic.1.6.4: CyberQuest Gestiunea grupurilor

Procedura ștergerii grupurilor de utilizatori

a. Conectați-vă la interfața Web.

b. Navigați la Setări, apoi faceți click pe Grupuri.

c. Selectați Delete Alt text opțiunea Grupului care va fi șters și apăsați Delete.

Alt text Pic.1.6.5: CyberQuest Gestiunea grupurilor

1.7 Migrarea “dashboards”

Fiecare utilizator își poate crea propriile “dashgroups” care conțin propriile “dashboards”. După crearea unui nou utilizator, un administrator poate copia “dashboards” de la un alt utilizator care deja a configurat “dashboards”. Pentru aceasta, urmați pașii următori:

  1. Deschideți Setări Alt text meniu și selectați " Users " Alt text

Pic.1.7.1: CyberQuest Web UI

2.În colțul din stânga sus faceți click pe “Copy dashgroups to user” Alt text Pic.1.7.2: Meniu utilizator

3.În noul popup selectați “User where dashgroups are copied from”, “Dashgroups that are copied” and “Users where to copy dashgroups” and click “Submit”

Alt text

Pic.1.7.3: Copie “dashgroups” la utilizator

Alt text

Pic.1.7.4: Copie “dashgroups” la utilizator

Alt text

Pic.1.7.5: Copie ‘’dashgroups’’ la utilizator

4.Deconectați-vă din contul de administrare și conectați-vă cu noul cont de utilizator. După ce conectarea este reușită, modulul “dashboard” va afișa noile “dashgroups” selectate în pasul anterior.

Alt text Pic.1.7.6: CyberQuest Dashboard Module

1.8 Permisiuni de date

Soluția oferă opțiuni de permisiuni de date care combinate cu funcțiile de acces bazate pe roluri oferă un control porționat asupra datelor puse la dispoziție pentru fiecare listă de grupuri de utilizatori creata.

Procedură

a. Conectați-vă la interfața Web.

b. Navigați la Setări, apoi faceți click pe tabul Grupuri.

Alt text Pic.1.7.1: CyberQuest Web UI Panoul de setări

c. Faceți click pe opțiunea Grup nou.

d. Selectați utilizatorul / utilizatorii și atribuiți permisiunile pentru date.

Alt text Pic.1.7.2: CyberQuest Gestiunea grupurilor

În câmpul Permisiuni de date, selectați filtrele de date corespunzătoare pentru grupul de utilizatori selectat. Notă: Dacă în câmpul Permisiuni de date nu este selectat niciun filtru, utilizatorul va avea acces nelimitat la toate datele disponibile.

e. Activați grupul făcând click pe butonul Dezactivați pentru al modifica pe Activat.

f. Apăsați Trimiteți.

Editați procedura de permisiuni de date

e. Conectați-vă la interfața Web.

f. Navigați la Setări, apoi faceți click pe Grupuri.

g. Selectați opțiunea " Editare " a grupului care va fi modificată.

Alt text Pic.1.7.3: CyberQuest Gestiunea grupurilor

h. Selectați sau deselectați accesul permisiunilor de date pentru utilizatori. Alt text Pic.1.7.4: CyberQuest Gestiunea grupurilor

1.9 Modul de gestionare a cazurilor

Soluția oferă un modul de gestionare a cazurilor conceput pentru a ajuta organizațiile și utilizatorii să creeze și să urmărească fluxurile de lucru pentru a răspunde rapid incidentelor. Fiecare caz realizat are un proprietar și poate fi desemnat colaborator pentru a îmbunătăți procesul de luare a deciziilor și a eficientiza rezolvarea cazurilor. De asemenea, permite adăugarea tuturor dovezilor existente pe baza evenimentului sau alertei care a condus la crearea cazului.

Procedură

a. Conectați-vă la interfața Web.

b. Navigați la Utilizatori, apoi faceți click pe tabul "Case Management".

Alt text Pic.1.8.1: CyberQuest Managementul cazurilor

c. Selectați "New Case".

Alt text Pic.1.8.2: CyberQuest Managementul cazurilor

d. În secțiunea "Configure", va apărea următoarele informații:

Alt text Pic.1.8.3: CyberQuest Managementul cazurilor

Opțiune Descriere
Name Un nume care identifică cazul nou creat.
Collaborators Utilizatorul care are acces la cazul creat.
Status Afișează starea biletului în funcție de următoarele stări: noi, deschise, rezolvate, închise, arhivate.
Case Types Un nume care identifică tipul cazului
Description O descriere a cazului
Evidence Permite adăugarea de imagini sau orice alte fișiere în cazul creat.

e. Apăsați Submit.

Adăugarea de evenimente / alerte la un caz

  1. Adăugarea unui eveniment la un caz poate fi făcută din modulele Investigare și "Browser". Pentru a adăuga un eveniment din modulul Investigations, navigați la evenimentul dorit și dați click pe butonul de instrument Alt text.

Alt text Pic.1.8.4: CyberQuest Modul de investigare

Pentru a adăuga un eveniment din modulul "Browser", navigați la evenimentul dorit și faceți click pe butonul de instrument Alt text.

Alt text Pic.1.8.5: CyberQuest Modul ‘’browser”

2.Adăugarea unei alerte la un caz poate fi făcută din modulul Alerte. Pentru a adăuga un eveniment din modulul Alerte, navigați la evenimentul dorit și dați click pe butonul de ajutor Alt text.

Alt text Pic.1.8.5: CyberQuest modulul Alerte

2. Module “Dashboard”

2.1 CyberQuest “Dashboards”

2.1 CyberQuest “Dashboards”

Tabloul de bord conține reprezentări grafice ale evenimentelor (fie circulară, fie histograme) și poate fi accesat din interfața web selectând pictograma tabloului de bord Alt text din partea stângă sus a paginii. Tablourile de bord vor afișa în mod implicit primele 100 de evenimente. Pentru a afișa numai tabloul de bord specific, trebuie să selectați opțiunea Alt text situat în partea stângă jos a tabloului de bord, pentru a reveni selectați Alt text. Datele din acest tablou de bord pot fi exportate în format .csv selectând opțiunea Alt text situata în partea stângă jos a tabloului de bord. “Dashboards” poate fi de asemenea exportat ca obiect selectând Alt text buton.

Alt text Pic.2.1.1: Topul evenimentelor

"Dashboards" sunt împărțite în diferite categorii:

2.1.1 Diagrame legate de eveniment

• Diagramă circulară cu referire la categoriile de evenimente de top:

Alt text

Pic.2.1.1.2: Categorii de evenimente de top

• Diagrama circulară cu referire la sursele evenimentului:

Alt text

Pic.2.1.1.3: Surse de eveniment de vârf

• Diagramă circulară în legătură cu ID-ul evenimentului:

Alt text

Pic.2.1.1.4: Evenimente de vârf după ID-ul evenimentului

• Diagramă cu graficul proporțiilor în raport cu computerul care a generat evenimentul:

Alt text

Pic.2.1.1.5: Evenimente de top de pe computer

• Diagramă cu graficul proporțiilor în raport cu proporția dintre conectările și deconectările:

Alt text

Pic.2.1.1.6: Conectari si deconectari

• Histogramă despre distribuirea evenimentelor în intervalul de timp selectat:

Alt text

Pic.2.1.1.7: Istoricul evenimentelor

2.1.2 Diagrame legate de rețea

• Diagramă cu graficul proporțiilor în raport cu adresele IP de vârf găsite în jurnale:

Alt text

Pic.2.1.2.1: Primele adrese IP - primele 20

• Diagramă cu graficul proporțiilor în raport cu adresele IP interne identificate în evenimente:

Alt text

Pic.2.1.2.2: Topul adreselor IP interne - primele 15

• Diagramă cu graficul proporțiilor în raport cu adresele IP externe identificate în evenimente – Adresele IP externe de vârf:

Alt text

Pic.2.1.2.3: Topul adreselor IP interne - primele 15

2.1.3 Diagrame asociate cu “Active Directory”

• Histogramă în ceea ce privește numele de utilizator - Utilizatori de top:

Alt text

Pic.2.1.3.1: Top utilizatori AD

• Diagramă cu graficul proporțiilor in referință la conturile de top ale computerului:

Alt text

Pic.2.1.3.2: Top Computer Accounts

• Diagramă cu graficul proporțiilor in referință la conturile "Active Directory" pentru utilizatori și computere:

Alt text

Pic. Pic.2.1.3.3: Conturi de top Active Directory (utilizatori și computere)

2.2 Vizualizați filtrele

Filtrele sunt utilizate pentru a reduce setul de rezultate dintr-o vizualizare la o cantitate administrabilă de date. Acestea reprezintă o parte esențială a fundamentării acestui sistem. Sistemul de filtrare este un acord între flexibilitate și ușurința în utilizare. Filtrele sunt capabile să ofere posibilitatea de a face " OR " sau " AND ". Ordinea filtrelor este irelevantă, deși poate fi reordonată ca o convenție. În ‘’dashboards’’, filtrele de vizualizare pot fi setate din partea de sus a paginii web. Filtrele pentru intervale de timp predefinite:

o (Ultima ora);

o (Ultima zi);

o (Ultimele 3 zile);

o (Ultimele 10 zile);

o (Ultimele 30 de zile);

o (Ultimele 90 de zile).

Alt text

Pic.2.2.1: Filtre pentru intervale de timp predefinite

• Filtre personalizate pentru intervale de timp de la data (Data de începere și data de încheiere). Caseta de validare "Now" stabilește data de încheiere la ora curentă, iar caseta de selectare "Auto Refresh" transmite interogarea curentă la fiecare 10 secunde

Alt text

Pic.2.2.2: Filtre cu intervale de timp personalizate

• Filtre de timp personalizate din timp (Timp de începere și Timp de încheiere). Caseta de selectare "Time Interval" stabilește intervalul de timp în funcție de intervalul de date afișat în pasul anterior, iar caseta de selectare "Not in this time interval" va exclude acest interval de timp de la "Start Date" și "End Date" selectată; Alt text Pic.2.2.3: Filtre cu intervale de timp personalizate

• Filtre după cuvinte cheie sau expresii folosind operatorii logici AND, OR, NOT; Alt text Pic.2.2.4: Filtrați caseta de căutare pentru date

• Filtrele suplimentare și metoda de combinare sunt disponibile în filele verticale derulante (Additional filters) și (Combining method). Alt text Pic.2.2.5: (Filtre suplimentare) și (metodă de combinare)

După selectarea criteriilor de căutare, rezultatele pot fi filtrate pentru "dashboards" prin apăsarea butonului "Filter Data" sau prin trimiterea de informații către modulul de investigație, apăsând butonul "Send to investigations" pentru o investigație detaliată bazată pe categorii (Top Event Categories) sau butonul "Send to alerts" pentru a crea o alertă bazată pe filtrul creat.

Alt text

Pic.2.2.6: (Date filtru) / (Trimiteți la anchete) / (Trimiteți la browser)

În jumătatea de jos a oricărei diagrame (‘’pie’’, ‘’circular’’ or ‘’histogram’’), rezultatele sunt afișate și ca tabel cu numărul de ordine, numele evenimentului și numărul de apariții din diagramă. Când poziționați indicatorul mouse-ului peste numele evenimentului, va apărea un meniu contextual cu următoarele opțiuni:

· Send to investigations - combină filtrele existente cu acel eveniment specific și trimite date către modulul de investigare pentru o vizualizare detaliată a evenimentului în raport cu datele selectate din filtru;

· Send to browser - combină filtrele existente cu acel eveniment specific și trimite date către modul browser;

· Send to alerts - combină filtrele existente cu acel eveniment specific și trimite date către modulul Alerte care arată numai alertele în funcție de filtrul selectat;

· Show only this data - combină filtrele existente cu acel eveniment specific și operatorul AND care arată numai rezultatele care includ evenimentul specific;

· Filter this data - combină filtrele existente cu acel eveniment specific și cu operatorul NOT care arată numai rezultatele care nu includ evenimentul respectiv;

· Send to external link - trimite textul selectat unui motor extern de căutare sau unui serviciu extern de raportare care poate fi personalizat în întregime în Settings> Application Settings> Customize> CustomizeSendToExternalLink;

Alt text

Pic.2.2.7: Meniul contextual

2.3 Opțiuni de configurare

2.3.1 Configurarea conturilor de utilizator si autentificare LDAP

Puteți configura și gestiona conturile de utilizator sau autentifica utilizatorii pe baza informațiilor LDAP.

Despre conturile de utilizator și autentificarea utilizatorilor Conturile de utilizator pot fi create și gestionate pe aparat sau, ca alternativă, puteți configura autentificarea externă printr-un server LDAP extern. Un cont local poate fi creat urmând procedura:

  1. Mergeți la consola Web de administrare.

Alt text Pic.2.3.1.1: Administrare Web consola

a. Conectați-vă la sistemul CyberQuest furnizând numele de utilizator și parola implicita.

b. În panoul de navigare, selectați "Settings" -> " Users".

Alt text Pic.2.3.1.2: Navigați la tabul Utilizatori

c. Selectați "New User".

Alt text Pic.2.3.1.3: Crearea unui nou utilizator

d. Introduceți sau modificați informațiile despre utilizator.

Nume Descriere
Name Un nume care identifică noua regulă de achiziție a datelor. Acest nume va apărea pe pagina "Utilizatori".
Username Numele de utilizator folosit pentru conectarea la interfața web.
Email Adresa de e-mail a utilizatorului care va fi creat.
Group Selectați un grup pentru noul cont de utilizator.
Password Setați parola pentru noul cont de utilizator.
Password Confirm Confirmați parola pentru noul cont de utilizator.
Enabled/Disable Account Activați noul cont de utilizator creat.

2.3.2 Configurarea și testarea autentificării utilizatorilor LDAP

Puteți configura și testa conexiunile de la CyberQuest către un server LDAP extern.

Procedură

  1. Mergeți la consola Web de administrare.

Alt text Pic.2.3.2.1: Administrare Web consola

  1. Conectați-vă la interfața web a CyberQuest furnizând numele de utilizator și parola implicita.

  2. În panoul de navigare, selectați “Settings”-> “Application Settings”.

Alt text Pic.2.3.2.2: Tabul de configurare a fișierelor Active Directory

Următoarele câmpuri pot fi editate: Active Directory Server (adresa), Active Directory Port, Active Directory Suffix (DNS-ul domeniului), Active Directory Based, Utilizator Active Directory (utilizatorul în care CyberQuest poate aduna jurnalele), parola Active Directory (parola pentru numele de utilizator menționat anterior).

Nume Descriere
ActiveDirectoryServer Adresa IP a serverului Active Directory.
ActiveDirectoryPort Portul pentru conectarea cu Active Directory. Implicit portul este 389.
ActiveDirectorySuffix FQDN a serverului Active Directory.Exemplu: "domain.com".
ActiveDirectoryBasedn Locația utilizatorului folosita pentru conectarea la Active Directory. Exemplu: "DC = domeniu, DC = com".
ActiveDirectoryUser Locația utilizatorului folosita pentru conectarea la Active Directory. Exemplu: "DC = domeniu, DC = com".
ActiveDirectoryPassword Parola pentru utilizatorul administrativ "domain \ Administrator" folosit pentru a vă conecta la Active Directory.
ActiveDirectoryGroup Grupul de utilizatori din Active Directory pentru sincronizarea utilizatorilor cu CyberQuest

2.4 Configurare “SIEM Connectors”

Procedură: În panoul de navigare, faceți click pe “Settings” Alt text și selectați “SIEM Connectors” Alt text

În această filă putem gestiona lista conectorilor SIEM care afișează sursele de colectare. Alt text Pic.2.5.1: Lista conectorilor SIEM din surse colectate

În această listă de conectori, putem utiliza următoarele opțiuni:

o Creați un conector nou

o Schimbați parola pentru un conector specific

o Vizualizați detalii pentru un conector specific

o Editați conectorii din listă

o Ștergeți conectorul din listă

o Căutați un conector în listă

o Sortați lista cu una dintre coloanele din listă

  1. Pentru a crea un nou conector, faceți click pe butonul " New Data Connector" din meniul Acțiune și completați câmpurile necesare pentru conectarea la o anumită sursă de colecție.

Alt text

Pic.2.5.2: Meniul de acțiune

Pentru a crea un conector nou, trebuie să completați câmpurile necesare pentru o anumită sursă de colectare. Aceste câmpuri sunt:

o Tipul conexiunii - selectați unul dintre tipurile: software-ul Dell InTrust, Alienvault, Nec Neoface, conector Splunk 6, WMI_connector, Syslog, etc

o Numele afișat

o Descriere

o Notițe

o Programa

o Ultima valoare

o Baza de date gazdă

o Numele bazei de date

o Utilizatorul bazei de date

o Parola de bază de date

o Tabel personalizat (vw_Allevents implicit)

Alt text Pic.2.5.3: Configurați un conector nou de date

2.Pentru a schimba parola pentru un anumit conector, faceți click pe Alt text butonul de lângă conectorul pe care doriți să-l editați.

Alt text

Pic.2.5.4: Schimbaţi parola

3.Pentru a vizualiza detaliile pentru un anumit conector, faceți click pe Alt text butonul de lângă conectorul pe care doriți să îl vedeți. Alt text Pic.2.5.5: Detaliile vizualizării conectorului

4.Pentru a edita parametri pentru un anumit conector, faceți click pe Alt text butonul de lângă conectorul pe care doriți să îl modificați. Alt text Pic.2.5.6: Connector Editați detaliile

5.Pentru a șterge un conector din listă, faceți click pe Alt text butonul de lângă conectorul pe care doriți să îl ștergeți.

6.Pentru a căuta un conector din listă, puteți utiliza bara de căutare din meniul "Action ".

7.Pentru a sorta lista cu una din coloanele din listă, faceți click pe numele coloanei.

2.5 Browser mod

Modul browser este destinat să afișeze informațiile din jurnalul prezent în sistem.

2.6 Opțiuni filtru date

Toate modurile de aplicare includ facilități avansate de filtrare. Astfel, datele pot fi filtrate oriunde în interiorul aplicației prin aplicarea unui filtru simplu sau complex pe câmpul filtrului și / sau prin utilizarea filtrelor predefinite pe baza tehnologiei.

Aplicarea acestor filtre se face prin îmbinarea filtrului curent din caseta de căutare și adăugarea operatorului AND / OR.

Alt text Pic.2.7.1: Aplicarea filtrelor

Filtrele suplimentare pot fi adăugate sau configurate din partea "Settings>Management>Filter Management". Alt text Pic.2.7.2: Selectarea filtrelor suplimentare

2.7 CyberQuest ™ Listă de rapoarte

Modul de raportare poate fi accesat din interfața web apăsând pe pictograma Alt text. În modul de raportare, sunt prezentate numeroase rapoarte în conformitate cu următoarele standarde:

COBIT (Obiectivele de control pentru informație și tehnologie conexă);

http://www.isaca.org/cobit/pages/default.aspx?cid=1003566&appeal=pr

FISMA (Federal Act privind securitatea informațiilor);

http://csrc.nist.gov/groups/SMA/fisma/

HIPAA (Legea privind transferabilitatea și răspunderea asigurărilor de sănătate);

http://health.state.tn.us/hipaa/

ISO 27001 (Standard de securitate a informațiilor);

http://www.iso27001security.com/

PCI (Standardul de securitate a datelor din industria cardului de plată);

https://www.pcisecuritystandards.org/

SOX (Actul Sarbanes-Oxley);

http://www.sox-online.com/

Alt text Pic.2.8.1: Rapoartele standard

După selectarea tipului de raport din structura arborescentă din stânga, puteți filtra în plus raportul sau îl puteți vizualiza cu următoarele opțiuni: • Un interval de timp poate fi selectat utilizând "Start Date" și "End Date", în funcție de categoria în care se încadrează solicitarea. Alt text Pic.2.8.2: Intervale de timp pentru generarea de rapoarte

• Modul de vizualizare poate fi modificat: numărul de rezultate de pe pagină din opțiunea " Items per page" din lista verticală.

Alt text

Pic.2.8.3: Optiunea articole pe pagină

• Se pot adăuga filtre suplimentare din câmpul "Filter data". Alt text Pic.2.8.4: Modul de vizualizare

După selectarea criteriilor de căutare apăsând butonul "Execute Report", sistemul listează evenimentele care corespund tipului de raport și criteriilor de căutare suplimentare.

În câmpul de filtrare suplimentar pot fi adăugate atât filtre simple, cât și complexe, cu ajutorul operatorilor logici AND, OR și NOT, de exemplu, pentru o căutare care duce numai la anumiți utilizatori și la o categorie (ex: Logoff), poate fi creat un filtru complex ca acesta:

  • (UserName:"user. Test") AND (Category: "Logoff")

De asemenea, în cazul în care căutăm un eveniment de utilizator care nu include categoria "Deconectare", se poate crea un filtru complex astfel:

  • (UserName:"user. Test") NOT (Category: "Logoff") Alt text Pic.2.8.5: Arborele de selecție a rapoartelor standard de conformitate

Rezultatele căutării vor fi afișate în partea de jos a paginii web în ordine cronologică ascendentă; pentru detalii referitoare la evenimente, trebuie să faceți click pe câmpul respectiv.

În câmpul de afișare a rezultatelor se afișează numărul de pagini pe care apar rezultatele și numărul de rezultate totale ("Total results") și pagina curentă. Alt text Pic.2.8.6: Exemplu de raport - "Logare Windows în timpul orelor non-business"

2.8 Modul de investigare

Modul de investigare este destinat să reprezinte grafic informațiile despre audit din aplicație. Acest mod permite corelarea nativă a datelor și conectarea evenimentelor relaționale aparente. Acest lucru servește pentru a crea legături între diverse evenimente și câmpuri / șiruri. O investigație presupune pornirea de la un eveniment care trebuie investigat și găsirea informațiilor utile adiacente. Acest eveniment poate fi unul dintre:

  • Conectarea unui utilizator;

  • Accesul la un fișier;

  • O adresă IP;

  • O modificare a configurației;

Cu ajutorul acestui mod, pornind de la aceste informații, anchetatorii pot descoperi cu ușurință jurnalele de evenimente asociate cu acest eveniment, corelând dinamic informațiile după câmpuri personalizate / șiruri.

2.8.1 Analiza scenariului de investigație

Exemplu de investigație

Scenariul de investigare presupune găsirea autentificării la resursele care aparțin unui utilizator într-o anumită perioadă de timp.

Etapa 1. Accesați modul de investigare apăsând pictograma de căutare Alt text.

Etapa 2. Introduceți numele de utilizator în câmpul de căutare. Acest lucru se poate face într-unul din cele două moduri: a) Dacă vrem să tratăm numele de utilizator ca un șir și să îl căutăm în toate domeniile evenimentului acesta este introdus direct. Dacă doriți să filtrați exact domeniul câmpului de utilizator, trebuie să folosiți notația specifică: (UserName:investigateduser ") Textul introdus este interpretat și este susținut de sintaxa complexă: Exemple valide pentru căutare:

  • Căutarea simplă: ‘’test’’;

  • Căutarea exactă simplă: “test. User2”;

  • Căutare complexă (spațiul este interpretat ca operator logic 'OR'): test user2;

  • Căutare complexă cu câmp: (UserName:"test. User2") AND (IP:"192.168. 190.5");

  • Căutare complexă cu OR și AND: ((UserName:"test. User2") OR (UserName:"test. User1")) AND (IP:"192.168.190.5");

Etapa 3.

Selectați "timeframe" pe care îl căutăm prin alegerea timpului de începere / încheiere. Pentru a le schimba, pot fi folosite butoane suplimentare: în mod automat add/subtract days/hours/minutes from the current day/hour. Alt text

Alt text Pic.2.9.1.1: Filtrați opțiunile de date

Etapa 4

Faceți click pe butonul "Obțineți date". Sistemul va afișa rezultatele solicitate sau un mesaj "Nu sa găsit niciun rezultat". Rezultatele sunt afișate ca un arbore.

2.8.2 Prezentarea Interfeței

Alt text

Pic.2.9.2.1: Interfața CyberQuest

Fiecare eveniment rezultat este afișat în puncte diferite colorate care ne fac să conștientizăm nivelul anomaliei pentru evenimentul respectiv:

Alt text

~ Punctele roșii semnalează faptul că evenimentul respectiv a fost considerat o anomalie din cauza evenimentelor cunoscute de sistem.

~ Punctele verzii semnalează faptul că evenimentul a căzut în modelul normal identificat de sistem

~ Punctele galbene semnalează faptul că evenimentul respectiv nu a fost configurat pentru a fi analizat de detectarea anomaliilor. Aceasta poate fi modificată pentru a include și tipul respectiv de eveniment specific în sistemul de anomalii de evenimente.

Când selectați un eveniment (a dot) în partea stângă a ecranului, sunt afișate toate câmpurile care apar la respectivul eveniment specific:

  • Toate aceste câmpuri sunt fie câmpuri standard din mediul Windows, fie câmpuri specifice altor tipuri de evenimente. Câmpul "Description" poate fi minimizat / maximizat pentru a afișa informații suplimentare pentru acel eveniment apăsând butonul "More".

Alt text

Pic.2.9.2.2: Tip de eveniment

  • În partea dreaptă, sistemul prezintă statistici despre evenimentele curente, astfel încât să putem avea o prezentare generală a evenimentelor curente rezultate. Implicit, sistemul afișează grafic.

Evenimentele rezultate din interogarea noastră, grupate după câmpul " Category " într-un format "Pie". Folosind comenzile, putem alege alte grupări și alte formate în care sunt afișate rezultatele.

Alt text

Pic.2.9.2.3: Prezentare tip de eveniment

Alt text Pic.2.9.2.4: Tipul de afișare a evenimentului

Derularea prin evenimentele rezultate (implicit numai 10 pe pagină) se face folosind butoanele din dreapta:

Alt text

Pic.2.9.2.5: Butoane derulante

Pentru mai multe rezultate pe pagină, în următoarea interogare putem alege o valoare diferită pentru rezultate / pagină. Alt text Pic.2.9.2.6: Filtrarea mai multor rezultate

În funcție de ceea ce dorim să aflăm (evenimente relaționale), putem avansa prin arbore cu o căutare suplimentară la prima interogare: Dacă folosim câmpul "Logon ID" ca parametru suplimentar pentru evenimentul selectat:

Alt text

Pic.2.9.2.7: Câmpul ID de conectare

Interogarea noastră devine: (UserName: "Vlad. Gladin") AND "0x134fd829" (aceasta se completează automat când faceți click pe 0x134fd829). Alt text Pic.2.9.2.8: Întrebare “tree”

În acest fel, interfața va arăta toate evenimentele și relațiile dintre ele. Exportarea evenimentului se poate face folosind butoanele de export ale aplicației. Exportul se face în format .CSV.

Alt text

Pic.2.9.2.9: Butoanele de export

2.9 Modulul Browser

Modulul browser poate fi accesat din interfața web prin apăsarea pictogramei din partea stângă sus a paginii Alt text:

În modulul browser, se adaugă un utilitar pentru filtrarea datelor în partea superioară a paginii web. Filtrează pe intervale de timp predefinite

o (Ultima ora);

o (Ultima zi);

o (Ultimele 3 zile);

o (Ultimele 10 zile);

o (Ultimele 30 de zile);

o (Ultimele 90 de zile).

Alt text

Pic.2.10.1.: Intervale de timp predefinite

• Filtre prin intervale de timp personalizate de la selectorii de început și de terminare (data de începere și data de încheiere) Alt text Pic.2.10.2: Intervale de timp personalizate

• Filtrele după cuvinte cheie sau expresii compuse folosind operatori logici AND, OR, NOT. Alt text Pic.2.10.3: Filtrați bara de căutare de date

• Filtrele predefinite selectabile din lista verticală " Additional Filters" cu ajutorul operatorilor logici din lista verticală " Combining method". Alt text Pic.2.10.4: Filtrați bara de căutare de date

După selectarea criteriilor de căutare, rezultatele pot fi filtrate pentru modul Dashboard-uri prin apăsarea butonului " Filter Data" sau criteriile de căutare pot fi trimise la modul de investigare prin apăsarea butonului " Send to investigations" pentru o investigație mai amănunțită.

Alt text

Pic.2.10.5: Opțiunile de filtrare a rezultatelor

Rezultatele filtrate vor fi afișate într-un tabel din centrul paginii web. În partea de sus a tabelului este afișată pagina curentă ("Showing page: 1 of 1800"), rezultatele totale ("Total results: “xxxx”) și numărul de rezultate afișate pe pagină (“100 results per page”) Alt text Pic.2.10.6: Vizualizarea rezultatelor totale

Tabelul cu rezultatele are un antet predefinit cu următoarele câmpuri:

· Ora locală - ora locală din mașina care a generat evenimentul;

· Computer - mașina care a produs evenimentul; acesta poate fi numele mașinii sau adresa IP pentru identificare ușoară;

· Nume utilizator - numele de utilizator al mașinii care a generat evenimentul;

· Descriere - descriere eveniment.

Alt text Pic.2.10.7: Tabelul rezultatelor

În câmpul de descriere din tabelul cu rezultate, în cazul în care există mai multe informații care nu pot fi afișate în tabel, se poate apăsa butonul "More" pentru mai multe detalii. Alt text Pic.2.10.8: Detalii suplimentare evenimentului

Antetul tabelului de rezultate poate fi modificat, prin selectarea din partea stângă a paginii, din lista verticală, făcând să includă următoarele informații, în afară de cele implicite:

· Category - categoria la care se desfășoară evenimentul;

· DestIP – adresa IP de destinație;

· SrcIP – adresa IP sursă;

· DestMAC – adresa MAC de destinație;

· SrcMAC – adresa MAC sursă;

· EventID – numărul de identificare al evenimentului;

· EventLog – jurnalul de evenimente la care se referă evenimentul;

· EventType– tipul evenimentului la care se referă evenimentul;

· GMT – timp coordonat universal;

· PlatformID – numărul de identificare de la mașina în care sa produs evenimentul;

· SessionID – numărul de identificare a sesiunii;

· Source – sursa la care se referă evenimentul;

· UserDomain – domeniul care conține utilizatorul mașinii care a produs evenimentul;

· VersionMajor – numărul versiunii majore a software-ului care a produs evenimentul;

· VersionMinor – numărul versiunii minore a software-ului care a produs evenimentul;

· S1-S150 – câmpuri de informații suplimentare.

2.10 Modul de alertare

Funcția de alertare inteligentă “Investigator” este o caracteristică complet adaptabilă care poate fi setată și editată de utilizatorul final: • Evenimentul care declanșează alerta poate fi definit de utilizator pentru a răspunde la nevoile cele mai specifice ale evenimentelor, asigurând o precizie excelentă și reducerea la minimum a alertelor false. Acest lucru se poate face prin intermediul elementului din meniul Setări Alt text selectând tabul "Real Time alerts management". Alt text Pic.2.11.1: Navigați la tabul Alerte

În această filă, utilizatorii pot edita și șterge alertele: - Fiecare descriere a numelui de alertă și data adăugată este afișată în tabul de gestionare a alertelor și alertele individuale pot fi editate apăsând pe butonul “edit” sau șters, apăsând butonul “delete” . Alt text Pic.2.11.3: Alertă programată

  • Când se apasă butonul "Edit", se va deschide o fereastră "Edit Alert" unde alerta poate fi editată ca alertă independentă sau compusă cu una sau mai multe alerte pentru a aplica mai multe filtre în funcție de necesitatea utilizatorului. Acesta este unul din cele două căi prin care se poate configura o alertă. Alt text Pic.2.11.4: Editarea alertelor

• Al doilea mod în care utilizatorii pot adăuga alerte este dintr-un raport: selectați raportul dorit din tabul Rapoarte și faceți click pe butonul " Add as alert". Alt text Pic.2.11.5: Adăugarea de alerte

2.10.1 Configurarea rapoartelor personalizate

Dacă una dintre definițiile standard pentru rapoarte sau alerte nu corespunde nevoilor utilizatorilor, alerta poate fi personalizată pentru o mai mare acuratețe, făcând click pe butonul "compose" Alt text: Alt text Pic.2.11.1.1: Personalizarea alertelor

În primul rând, utilizatorul trebuie să stabilească "intervalul de timp" în care pot apărea alertele compuse, să filtreze datele pentru fiecare alertă pentru a mări / micșora numărul de evenimente care vor fi corelate cu alerta compusă, următoarea definiție a raportului (evenimentele care vor răspunde la acest raport vor fi corelate și filtrate pentru a se potrivi cu evenimentele primei alerte), " join rules " datele explicite din evenimentele anterioare pe care utilizatorul trebuie să le utilizeze pentru următoarea definiție de alertă.

2.10.2 Configurarea exemplelor de alerte în timp real

Exemplu de alerte

Acest scenariu presupune configurarea unei alerte pentru un anumit utilizator pentru două intrări nereușite în timpul unui interval de timp de 60 de secunde.

Etapa 1.

Accesați modul de raportare prin apăsarea pictogramei " Reports ":

Alt text

Pic.2.11.2.1: Pictograma Reports

Etapa 2.

Selectarea definiției raportului. În scenariul curent, definiția raportului este " Windows failed logons": Alt text Pic.2.11.2.2: Selectarea raportului dorit

  • În fișierul " Filter Date"*, introduceți numele de utilizator al persoanei care nu a reușit conectarea la care vrem să fim alertați: UserName: "usertest", în formularul "time span", tastați intervalul de timp în care alerta va fi activă ( în cazul în care utilizatorul nu reușește să se autentifice și nu va reuși din nou timp de cel puțin 60 de secunde, primul eveniment va fi șters, evitând astfel trimiterea de alerte false), în "Join Rules", "UserName = E1.UserName" să furnizeze alertei compuse informațiile pe care trebuie să le caute și, în final, descrie ceea ce face această alertă. În cele din urmă, după verificarea informațiilor, dați click pe "Trimiteți"**. Un mesaj scurt va solicita utilizatorului că alerta a fost înregistrată. Alt text Pic.2.11.2.3: A fost adăugat mesajul de alertă

Alt text Pic.2.11.2.4: Adăugați o alertă nouă - Logare nereușită în Windows

Etapa 3.

Alerta poate fi setată pentru a trimite un e-mail sau un SMS atunci când apare, dar în mod alternativ alertele sunt afișate în tabul alerte din meniul de sus: Alt text Pic.2.11.2.5: Tabul Alerte

Alertele sunt afișate ca evenimente obișnuite. În acest exemplu, alerta a fost setată pentru a declanșa atunci când utilizatorul "usertest" nu va reuși să se conecteze de două ori. Deoarece este rezultatul combinării aceluiași tip de acțiune de răspuns, vor fi declanșate două alerte: Prima este declanșată atunci când apare o conectare nereușită pentru utilizatorul "usertest" (prima alertă pe care am compus-o) și a doua alertă (cea pe care am dorit să o configuram) va declanșa când apare un al doilea eveniment de logare și numele de utilizator este "usertest "(Acest lucru a fost creat anterior în partea de "join rules" de a compune alerte) Rezultatele sunt următoarele: Alt text Pic.2.11.2.6: Alerte

2.10.3 Configurarea exemplelor de alerte sumare

Exemplu de alerte

Scenariul de alertare va fi: notificați biroul de securitate dacă un utilizator accesează Facebook de mai mult de 50 de ori pe zi.

Etapa 1:

Crearea raportului cu definiția alertei (în esență un raport care prezintă toate evenimentele cu filtrele necesare, în acest caz, site-ul Facebook). Acest raport personalizat a fost executat până la găsirea tuturor evenimentelor care conțin cuvântul "Facebook" în ele, inclusiv informațiile relevante (adresa IP, data, ora etc.). Pentru a face acest lucru, acțiunile necesare sunt după cum urmează:

Faceți click pe butonul "Reports" Alt text și o practică obișnuită ar fi să creați un nou dosar pentru aceasta și orice alte rapoarte personalizate, astfel încât să faceți click pe "Folder nou" Alt text din arborele rapoartelor din stânga sus. Va apărea un pop-up care va solicita numele noului folder. În acest caz, numele este “Custom” click “Save”. Alt text Pic.2.11.3.1: Creați un dosar nou în tabul Rapoarte

Selectați acest nou dosar și creați un nou raport făcând click pe butonul "New Report".

Alt text

Pic.2.11.3.2: Folder nou în Rapoarte ‘’Tab’’

3. Setările aplicației

Această parte a meniului CyberQuest este utilizată pentru definirea funcțiilor configurabile ale interfeței web. Acesta poate fi accesat din butonul " Application Settings": Alt text, urmând să faceți click pe “application settings” tab.

Alt text

Pic.3.1: Setările aplicației

3.1 Utilizatori

1) Configurația ElasticSearch (adresa și portul)

Implicit este localhost și port 9000. Acestea pot fi editate pentru o instalare personalizată prin apăsarea butonului “edit” Alt text, butonul aparținând câmpului pe care utilizatorul dorește să îl editeze. Alt text Pic.3.1.1: Tabul de configurare ElasticSearch

2) Configurare Active Directory

Următoarele câmpuri pot fi editate: Active Directory Server, Active Directory Port, Active Directory Suffix (Domain DNS), Active Directory Basedn, Active Directory User (utilizatorul în care CyberQuest poate colecta jurnale), Active Directory Password (palrola pentru numele de utilizator menționat anterior). Alt text Pic.3.1.2: Active Directory configuration tab

3) Email configuration

Următoarele câmpuri pot fi editate: server de e-mail (adresa sau numele serverului de e-mail), e-mail de la (ce va apărea în câmpul "de la trimiterea e-mailului"); secunde, că serverul de e-mail ar trebui să încerce să trimită mesajul înainte de anulare cu o eroare de expirare), E-mail CC, E-mail BCC (carbon copies sau blank ale mesajului de e-mail) Server de e-mail Utilizați TLS (implicit 0 schimbat dacă serverul de mail necesită TLS autentificarea către portul necesar), Email Auth UserName (numele de utilizator de autentificare pentru serverul de e-mail) Email Auth Pass (parola de conectare pentru numele de utilizator menționat anterior), Email Server Transport (ce protocol utilizează serverul de poștă electronică) Alt text Pic.3.1.3: Câmpurile de configurare pentru e-mail

4) Rapoarte - configurație de export

Următoarele câmpuri pot fi editate: Reports Export Local Route (calea unde sunt descărcate rapoartele exportate, local), Remote Path Export Reports (calea unde sunt descărcate rapoartele exportate, de la distanță), Export UserName reports (numele de utilizator pentru mașina de la distanță menționată anterior) și Password Export Remote Password (parola pentru mașina de la distanță menționată anterior). Alt text Pic.3.1.4: Rapoarte - configurație de export

5) Configurarea perioadei de reținere

Următoarele câmpuri pot fi modificate: RetentionPeriodEL (numărul maxim de zile în care evenimentele colectate vor fi păstrate în ElasticSearch pentru utilizare obișnuită), RetentionPeriodAN (numărul maxim de zile în care evenimentele colectate vor fi păstrate în Anomaly Analyzer pentru investigații obișnuite). Alt text Pic.3.1.5: Configurarea perioadei de reținere.

6) Personalizați mesajul de întâmpinare pentru conectare.**(În această secțiune, excluderea responsabilității ecranului de conectare poate fi editată)

Alt text Pic.3.1.6: Personalizați mesajul de întâmpinare pentru conectare

Pentru toate configurațiile de mai sus, butoanele "Test Customize Settings" pot fi utilizate pentru a vedea dacă modificările sunt corecte sau nu. În cazul în care setările sunt corecte, utilizatorul va primi următorul mesaj în meniul principal:

Alt text

În cazul în care unele setări nu sunt definite corect, utilizatorul va primi un mesaj cu setările sunt incorecte:

Alt text

4. DTS – Servicii de transformare a datelor

Servicii de transformare a datelor sau DTS, este un set de obiecte și utilitare pentru a permite automatizarea extragerii, transformării și încărcării operațiilor către/sau din baza de date. Obiectele sunt pachete DTS și componentele acestora, iar utilitarele sunt numite instrumente DTS. DTS permite ca datele să fie transformate și încărcate din surse eterogene utilizând fișiere OLE DB, ODBC sau numai text, în orice bază de date acceptată. DTS poate permite, de asemenea, automatizarea importului sau transformării datelor pe o bază planificată și poate efectua funcții suplimentare precum fișierele FTP și executarea programelor externe. ‘’CyberQuest’s Data Transformation Services’’ este un instrument inteligent de date multifuncțional. Prin utilizarea acestuia, datele din jurnalul de evenimentelor pot fi analizate, corelate, îmbogățite, calculate și tratate în moduri personalizate, în funcție de criterii specifice sau foarte personalizate. Acesta se află între serviciul de achiziție de date și serviciul de detectare a anomaliilor, iar datele sale sunt împărțite între celelalte servicii. Pentru aceste sarcini, utilizează un motor JavaScript încorporat, pe care utilizatorul îl poate utiliza pentru a folosi în afara casetei sau pentru a crea o logică personalizată pentru a efectua diverse acțiuni. DTS** are rolul de a transforma în mod suplimentar datele de la evenimentul de securitate, în funcție de orice criteriu personalizat. Utilizatorul nu este limitat în nici un fel în ceea ce privește prelucrarea logică pe care o folosește sau o creează. O utilizare tipică implică extragerea de informații utile în mai multe câmpuri în funcție de mai mulți factori atunci când evenimentul sursă nu împarte informațiile utile în câmpuri separate. Când scrieți scriptul personalizat, rețineți că puteți introduce un eveniment în parser și puteți extrage mai multe (în cazul în care apar nevoile). Soluția utilizează servicii de transformare a datelor pentru configurarea următoarelor reguli și parsarea:

  • JS parsarea;

  • Filter Reguli;

  • DA Reguli.

4.1 JS Parsare(DTS Obiecte)

Parsarea sau analiza sintactică reprezintă procesul de analiză a unui șir de simboluri, fie în limbaj natural, fie în limbi de calcul, conforme cu regulile unei gramatici formale. Sarcina parserului este de a determina în mod esențial dacă și cum poate fi derivată intrarea de la simbolul de început al gramaticii. Parserul JS este un obiect Javascript care utilizează jurnale de evenimente și aranjează inteligent datele, facilitând interpretarea informațiilor de către utilizator. Parsarea se face apelând obj.exec cu eveniment ca parametru în format JSON. CyberQuest’s JS Parsare ‘’Tab’’ poate fi accesat din interfața grafică de utilizator navigând la “Settings” -> “JS Parsers”. (DTS Obiecte) Alt text Pic.4.1.1: JS Parsare tab

4.2 Crearea unui nou Parser JS

Procedură:

  1. Mergeți la “Settings” Alt text-> “JS Parsers” (DTS Obiecte) Alt text. a. Conectați-vă la administratorul CyberQuest

http:// CyberQuest _hostname (sau la IP-ul serverului).

b. În bara de navigare din dreapta sus, selectați “Settings” Alt text și apoi “JS Parsers” Alt text.

c. Selectați “New JS Parser”. Alt text.

d. În secțiunea de configurare, va apărea următoarele informații:

Opțiune Descriere
Name Un nume care identifică noua regulă de achiziție a datelor. Acest nume va apărea pe pagina "DA Rules".
Description Informații despre textul nou creat.
Script Permite utilizarea de scripturi pentru parsarea datelor.
Is Active? Starea actuală a analizorului parser JS.
Alt text
Pic.4.2.1: Crearea unui nou parser JS

Iată un exemplu de parser DTS:

// Parsarea se face apelând obj.exec cu eveniment ca parametru în format JSON.
// Evenimentul de intrare este trimis de Serviciul CQ; Se așteaptă ca producția să fie o serie de evenimente 
(this.outputEvents)
// ieșirea ar trebui să fie o serie de evenimente în format JSON. Amintiți-vă că apelați JSON.stringify 
this.ouputEvents
var obj = {
 outputEvents:[],
 Exec:function(Event){
    this.inputEvent = JSON.parse(Event);

    //event parsing & outputEvent population here
    //to modify a property use: this.inputEvent.PropertyName

    //Ex: this.inputEvent.UserName = null;

    //Ex: this.inputEvent.EventID = null;

    //Ex: this.inputEvent.Source = 'Logon';

     description = this.inputEvent.Description;
    this.inputEvent.EventID="1300001";

    for (var field in  this.inputEvent) {
   if(this.inputEvent[field].indexOf('requestURL') > -1){
     var copyOfField=this.inputEvent[field];
      second_regex=/(?:=)([a-zA-Z0-9_\-.]*)/;
      var temp=copyOfField.split("=");
       this.inputEvent.S50=temp[1];
     var returnval=second_regex.exec(copyOfField);
     if(returnval!==null){
       this.inputEvent.S49=returnval[1]; 
     }
   }
    this.outputEvents.push(this.inputEvent);
    return JSON.stringify(this.outputEvents);
  }
};

De asemenea, serviciile DTS păstrează în memorie liste de obiecte pe care utilizatorul le poate utiliza pentru a face anumite lucruri.

Aceste liste sunt:

-   Utilizatorul conectat la adresa ADDRESS IP specificată poate fi accesat utilizând: 
if(this.inputEvent.UserName == 'undefined'){
        this.inputEvent.UserName = AD-whoisLoggedOn(this.inputEvent.SrcIP);
   }

-   Nume real (mapate prin nume de utilizator și aplicații):
  if(this.inputEvent.RealName == 'undefined'){
        this.inputEvent.RealName = RealName(this.inputEvent.UserName);
   }

-   Căutări de nume (prin adresa IP):
if(this.inputEvent.SrcHost == 'undefined'){
        this.inputEvent.SrcHost = NameLookup(this.inputEvent.SrcIP);
   }

-   Liste generice:
if(this.inputEvent.EventType == 'undefined'){
        this.inputEvent.EventType = genericListLookup(‘list_name’,this.inputEvent.PropertName);
   }

Aveți posibilitatea să aveți propriile liste personalizate cu obiecte dinamice care sunt partajate între toate componentele. Puteți, de asemenea, să populați informații despre aceste liste direct din DTS folosind "listRegister".
Metodă:
if(this.inputEvent.EventType == ‘16’){ // 16 means Failed Audit event
        listRegister(‘hosts_with_failed_audit’,this.inputEvent.Computer);
   }
Definiția pentru listRegister este:
-   Void listRegister(String listName, String Value)

4.3 Filtrare reguli

CyberQuest folosește un mecanism de filtrare a evenimentului inteligent pentru trimiterea datelor către parsere JS configurați. Regulile de filtrare pot fi adăugate prin navigarea către “Settings”->”Filter Rules”. Tabul este foarte intuitivă și permite crearea unor reguli bazate pe operatori precum “eq”, “noteq”, “isInList”, “isNotInList”, “startsWith”, “endsWith”, “intInterval”. Nu există practic nici o limită pentru adăugarea de câmpuri suplimentare. Alt text Pic 4.3.1: Filtrați regula

4.4 Crearea unei noi reguli de filtrare

Procedură:

  1. Mergeți la “Settings” Alt text-> “Filter Rules” Alt text:

a. Conectați-vă la administratorul CyberQuest, http:// CyberQuest _hostname (sau IP-ul serverului).

b. În bara de navigare din dreapta sus, selectați “Settings” Alt text și apoi “Filter Rules” Alt text.

c. Selectați “New JS Parser” .

  1. În secțiunea de configurare, va apărea următoarele informații: | Opțiune | Descriere | | :-------- | :-------- | | Name | Un nume care identifică noua regulă de achiziție a datelor. Acest nume va apărea pe pagina " DA Rules". | | Description | Informații despre textul nou creat. | | Field | Permite adăugarea de câmpuri suplimentare de căutare pentru a obține informații de la mai multe straturi | | Operator | Permite utilizarea de operatori cum ar fi “eq”, “noteq”, “isInList”, “isNotInList”, “startsWith”, “endsWith”, “intInterval”. | | Value | Valoarea folosită pentru comparație. | | Is Active? | Starea actuală a analizorului JS. |

4.5 Regulile de achiziție a datelor (DA Rules)

Normele de achiziție a datelor reprezintă un instrument decizional care ajută la combinarea regulilor de filtrare cu parsere JS. Pentru un anumit flux de evenimente soluțiile permit selectarea regulilor de filtrare la care putem atribui unul sau mai multe parsere. Data Acquisition Rules modulul poate fi găsit prin navigarea către“Settings” -> “DA Rules” . Alt text Alt text Pic 4.5.1: Tabul regulilor Data Acquisition

4.6 Crearea unui nou DA Rule

Procedură:

  1. Mergeți la “Settings” Alt text -> “DA Rules” Alt text :

a) Conectați-vă la CyberQuest, http:// CyberQuest _hostname (sau IP-ul serverului).

b) În bara de navigare din dreapta sus, selectați “Settings”

Alt text și apoi “DA Rules” Alt text.

c) Selectați “New DA Rule”. Alt text

  1. În secțiunea Configurați, va apărea următoarele informații:
Opțiune Descriere
Name Un nume care identifică noua regulă de achiziție a datelor. Acest nume va apărea pe pagina "DA Rules".
Description Informații despre noua regulă creată.
AND filter rules Permite utilizarea operatorilor "AND" pentru a obține informații despre mai multe straturi.
OR filter rules Permite utilizarea operatorilor "OR" pentru a obține informații despre mai multe straturi.
Data Storages Selectați stocarea pe termen lung a datelor.
JS Parsers Permite utilizarea JS Parsers pentru a obține informații despre mai multe straturi
Order Setați prioritatea de utilizare a noii reguli de achiziție a datelor.
Active? Starea actuală a regulii.

4.7 Configurarea modulului de arhivare "Data Storage"

Procedură:

a) Deschideți interfața Administrare Web

b) Conectați-vă la CyberQuest cu acreditările implicite "Username" și "Password"

Alt text Pic.4.7.1: Administrative Console

c) In the navigation pane, select "Settings" from the menu (top right): Alt text

Alt text Pic.4.7.2: Panou de navigare CyberQuest

d) Navigați către Settings Alt text meniu și selectați butonul Stocare dateAlt text. În această filă putem folosi următoarele opțiuni pentru administrarea modulului:

o Creați un nou spațiu de stocare a datelor

o Modificați stocarea datelor existente

o Ștergeți stocarea datelor existente

o Selectarea site-ului implicit de stocare a datelor

  1. Pentru a crea un nou spațiu de stocare a datelor, selectați butonul “New Data Storage” din meniul Acțiuni. În noua filă putem completa următoarele câmpuri: Path (calea în care să copiați datele), Server (serverul pe care doriți să copiați datele), Data Storage-Site starea (dacă este activ sau nu) și salvează făcând click Submit.

Alt text

Pic.4.7.3: Meniul Acțiuni

2.Pentru editarea unui stoc de date existent, selectați butonul Editare Alt text alături de Data Storage. În tabul recent deschisă puteți edita câmpurile descrise mai sus: Path, Server și Data Storage-Site Status (Este activ?), apoi faceți click pe butonul Submit. Alt text Pic.4.7.4: Tabul pentru editare de stocare a datelor

3.Pentru a șterge o aplicație de stocare existentă, apăsați butonul de ștergere Alt text în dreptul Data Storage și confirmați ștergerea din mesajul nou introdus.

4.Pentru a utiliza un anumit set de stocare a datelor ca buton de verificare a presei implicit este Alt text. Astfel, starea IsDefault se va schimba în "Yes". Alt text Pic.4.7.5: Configurarea filei de stocare a datelor

4.8 Configurarea caracteristică “Data source status”.

Pentru a verifica toată starea de colectare a datelor din toate sursele care trimit evenimente către CyberQuest sau sursele colectate de CyberQuest urmați pașii de mai jos:

  1. Deschideți un browser web și conectați-vă la CyberQuest

Alt text

Pic.4.8.1: Consola administrativă

2.Faceți click pe pictograma Settings

Alt text și selectați “Data source status”

Alt text

Pic.4.8.2: Setările aplicației

3.Pagina deschisă va arăta un tabel cu toate sursele de date colectate de CyberQuest:

Alt text Pic.4.8.3: Surse de date colectate

Câmp Descriere
Computer Name Un nume care identifică noua regulă de achiziție a datelor. Acest nume va apărea pe pagina "DA Rules".
Log Name Informații despre noua regulă creată.
Type Permite utilizarea operatorilor "AND" pentru a obține informații despre mai multe straturi.
Messages Permite utilizarea operatorilor "OR" pentru a obține informații despre mai multe straturi.
Last Received Time Selectați stocarea pe termen lung a datelor.
Last Local Time Permite utilizarea JS Parsers pentru a obține informații despre mai multe straturi
Last Update Time Setați prioritatea de utilizare a noii reguli de achiziție a datelor.
Last Message Starea actuală a regulii.
Last Error Ultimul mesaj de eroare de la colectorul de date
Next Collection Data și ora la care începe colecția următoare
Producer Modulul sau agentul care a colectat evenimentele
Producer Uptime Funcția Uptime a modulului sau a agentului care colectează evenimente
Extra Data Cometariu
Alert Interval minutes Intervalul de timp pentru a verifica starea sursei

Tabelul de stare a sursei de date poate fi personalizat pentru a afișa numai coloanele necesare prin bifarea / debifarea elementelor din lista din partea stângă.

Starea surselor de date: Alt text - Invalid Alt text - Colectare Alt text - Eroare de oprire sau critică Alt text - În așteptarea colectării următoare

5. Anexă

5.1 Fișiere de configurare

5.1.1 Data-parser

Navigați la locație cd /var/opt/cyberquest/dataparser/conf/

Accesând config.ini fișierul de configurare vor fi afișate următoarele câmpuri:

Câmp Descriere
Config_DB_HOST Serverul gazdă mySQL
Config_DB_USER Utilizatorul serverului gazdă mySQL
Config_DB_PASSWORD Parola pentru serverul gazdă mySQL
Config_DB_DB Baza de date utilizată de server
debug_level=2 Nivelul de prolixitate
RMQ_host Serverul de coadă al mesagerie
RMQ_username Serverul de coadă al mesagerie
RMQ_password Parola pentru coada de mesaje
RMQ_queue Cozi de mesagerie
Redis_host Redis Adresa gazdă
use_external_lists Adevărat sau fals

5.1.2 Stocare de date

Navigați la locație cd /var/opt/cyberquest/datastorage/

Accesarea fișierului de configurare conf.xml va afișa următoarele câmpuri:

Câmp Descriere
maxEventsPerFile Evenimentul maxim permis per fișier
fileWriterTimeout Intervalul de expirare pentru scriitorul de evenimente
mqUserName Nume utilizator MQ
mqPassword Parola MQ
mqHost Gazdă MQ
mqVhost VGazdă MQ
mqPort Portul de acces MQ
mqExchangeName Numele de schimb MQ
mqQueueName Nume coadă MQ
mqReceiveQueueType MQ Tip de coadă primit
mqRouting Traseul de rutare
mqReceiveCommandExchangeName MQ Primiți numele de schimb de comandă
mqReceiveCommandQueueName MQ Primiți numele de coada de comanda
mqReceiveCommandQueueType MQ Primiți tipul de coada de comanda
mqReceiveCommandRouting MQ Primiți calea de rutare a comenzii
mqSendExchangeName MQ trimite numele de schimb
mqSendQueueName MQ trimite nume de coadă
mqSendRouting MQ trimite calea de rutare
mqSendQueueType Trimitere tip de coadă MQ
serverGuid serverGuid
encryptionPublicKeyFilePath Calea fișierului cheie public
encryptionPrivateKeyFilePath Calea parolei chei private
encryptionPrivateKeyPassword Parola chei private
dbDriver Driverele bazei de date
dbUserName Numele de utilizator al bazei de date
dbPass Parola bazei de date
dbUrl Adresa URL de acces la baza de date

5.1.3 Achizitie de date

Navigați la locație cd /var/opt/cyberquest/dataacquisition/conf/ Accesând config.ini fișierul de configurare vor fi afișate următoarele câmpuri:

Câmp Descriere
CommandPort Portul în care sunt trimise comenzile analizorului
AnalyzerPort Portul în care sunt trimise informațiile de instruire a analizorului
AnalyzerAddress Adresa unde sunt trimise evenimentele analizorului
Config_DB_HOST Serverul gazdă mySQL
Config_DB_USER Utilizatorul serverului gazdă mySQL
Config_DB_PASSWORD Parola serverului gazdă mySQL
Config_DB_DB Baza de date utilizată de server
EL_Url Adresa URL Elastic Search
EL_Port Portul Elastic Search
FIFO_size Dimensiunea maximă a listei de colecții interioare
BUFFER_size Numărul de evenimente trimise într-o singură explozie la coada FIFO
HTTP_SERVER_PORT Pentru uz intern. Implicit 8082
UDP_SERVER_PORT Portul de server UDP
SYSLOG_UDP_SERVER_PORT Portul unde sunt redirecționate datele syslog prin UDP
LIC_PATH LIC_PATH
CLEANUP_CRON Frecvența curățării perioadei de păstrare
ARCSIGHT_UDP_SERVER_PORT Portul în care datele CEF sunt transmise prin UDP
bulk_size ~~~
no_of_threads Numărul maxim de fire, prin care acest câmp completează automat
debug_level Înregistrarea nivelului prolixitati
RMQ_host Gazdă RMQ
RMQ_username Nume de utilizator RMQ
RMQ_password Parola RMQ
RMQ_queue Coadă RMQ
maxmindb_path Calea maxminddb
run_collection_servers Steagul pentru implementarea tipului de cluster (adevărat / fals)

5.1.4 Serviciu de analiză a datelor

Navigați la locație cd /var/opt/cyberquest/dataanalyzer

Accesarea fișierului de configurare conf.xml va afișa următoarele câmpuri:

Câmp Descriere
configDBIP Adresa IP a bazei de date config
configDBPort Portul de comunicare pentru baza de date config
configDBUsername Nume utilizator al Bazei de date Config
configDBPassword Parola bazei de date config
configDBDatabase Numele bazei de date config
configDBType Tipul bazei de date config
commandServerInterfaceIP
commandServerPort
dataServerInterfaceIP
dataServerPort
learningEnabled
elasticSearchURL Adresa IP a bazei de date ElasticSearch
elasticSearchQuery
mqUserName Nume utilizator MQ
mqPassword Parola MQ
mqHost Gazdă MQ
mqVHost VGazdă MQ
mqPort Port de acces MQ
mqReceiveExchangeName
mqReceiveQueueName MQ Primeste numele de coada
mqReceiveQueueType Tipul de așteptare primit de tip MQ
mqReceiveRouting MQ Primiți calea de rutare
logLevel logLevel

5.1.5 Agent de înregistrare

Pentru a configura Cyberquest Log Gathering Agent, este necesar să editați următoarele fișiere: -Collections.xml

Navigați la locație C:\Program Files (x86)\CyberQuestLogAgent Accesând fișierul de configurare Collections.xml vor afișa următoarele câmpuri:

<?xml version="1.0" encoding="utf-8" ?>
<configuration> 
    <settings>
      <CollectComputer computer="Localhost" > - Calculator de unde colectezi jurnalele            
            <log name="Security"> - Evenimentul de categorie colectat din fișierele Windows
                <add name="collectionMethod" value="wmi" />

                <add name="logType" value="WindowsStandard" />
            </log>

            <log name="Application"> - Evenimentul de categorie colectat din fișierele Windows
                <add name="collectionMethod" value="wmi" />
                <add name="logType" value="WindowsStandard" />
            </log>

            <log name="System"> - Evenimentul de categorie colectat din fișierele Windows
                <add name="collectionMethod" value="wmi" />
                <add name="logType" value="WindowsStandard" />
            </log>

            <log name="Setup"> - Evenimentul de categorie colectat din fișierele Windows
                <add name="collectionMethod" value="wmi" />
                <add name="logType" value="WindowsStandard" />
            </log>  
   </CollectComputer>

Pentru a colecta de pe un alt computer Windows (în același domeniu), puteți duplica eticheta Colectare calculator și schimbați: computer="Localhost" cu numele noului calculator.
    </settings>
</configuration>

Navigați la locație C:\Program Files (x86)\CyberQuest LogAgent

Accesând fișierul de configurare Agent.exe.Config va afișa următoarele câmpuri:

<?xml version="1.0" encoding="utf-8"?>
<configuration>
  <configSections>
    <section name="log4net" type="log4net.Config.Log4NetConfigurationSectionHandler, log4net"/>
  </configSections>
  <log4net>
    <appender name="ConsoleAppender" type="log4net.Appender.ConsoleAppender">
      <layout type="log4net.Layout.PatternLayout">
        <conversionPattern value="%date [%thread] %-5level %logger [%ndc] - %message%newline"/>
      </layout>
    </appender>
    <appender name="RollingFile" type="log4net.Appender.RollingFileAppender">
      <file value="logs\\agent.log"/>
      <appendToFile value="true"/>
      <maximumFileSize value="1000KB"/>
      <maxSizeRollBackups value="10"/>
      <layout type="log4net.Layout.PatternLayout">
        <conversionPattern value="%date - %level  - %thread  - %logger - %message%newline"/>
      </layout>
    </appender>
    <root>
      <level value="DEBUG"/>
      <appender-ref ref="RollingFile"/>
      <appender-ref ref="ConsoleAppender"/>
    </root>
  </log4net>
  <appSettings>
    <add key="connectorType" value="SIEM" />
    <add key="server" value="192.168.115.115" /> - Pentru colectarea UDP
    <add key="serverPort" value="8090" /> - Portul UDP pentru colectare
    <add key="serverProtocol" value="mq" />
    <add key="eventSyncQueueSize" value="10000" />
    <add key="AgentUUID" value="a157be43-eb5d-45fb-b14a-0a5a8ccb25b0" />
    <add key="compressData" value="true" />
    <add key="encryptData" value="true" />
    <add key="mqUserName" value="cq" />
    <add key="mqPassword" value="VRW7Zl7RreWg9Q==" />
    <add key="mqHost" value="192.168.115.104" /> - Pentru colectarea TCP
    <add key="mqVhost" value="/" />
    <add key="mqPort" value="5672" /> - Portul TCP pentru colectare
    <add key="mqExchangeName" value="eventsExchange" />
    <add key="mqQueueName" value="events" />
    <add key="mqRouting" value="agents" />
  </appSettings>
  <startup>
    <supportedRuntime version="v4.0" sku=".NETFramework,Version=v4.5"/>
  </startup>
  <runtime>
    <assemblyBinding xmlns="urn:schemas-microsoft-com:asm.v1">
      <dependentAssembly>
        <assemblyIdentity name="System.Runtime" publicKeyToken="b03f5f7f11d50a3a" culture="neutral"/>
        <bindingRedirect oldVersion="0.0.0.0-2.6.10.0" newVersion="2.6.10.0"/>
      </dependentAssembly>
      <dependentAssembly>
        <assemblyIdentity name="System.Threading.Tasks" publicKeyToken="b03f5f7f11d50a3a" culture="neutral"/>
        <bindingRedirect oldVersion="0.0.0.0-2.6.10.0" newVersion="2.6.10.0"/>
      </dependentAssembly>
      <dependentAssembly>
        <assemblyIdentity name="System.Net.Http" publicKeyToken="b03f5f7f11d50a3a" culture="neutral"/>
        <bindingRedirect oldVersion="0.0.0.0-2.2.29.0" newVersion="2.2.29.0"/>
      </dependentAssembly>
    </assemblyBinding>
  </runtime>
</configuration>

5.1.6 Rapoarte

Navigați la locație cd /var/opt/cyberquest/reports

Accesând fișierul de configurare config.php vor apărea următoarele câmpuri:

Câmp Descriere
$GLOBALS['dbuser'] Numele de utilizator al bazei de date
$GLOBALS['dbpasswd'] Parola bazei de date

5.1.7 Agent de rețea

Navigați la locație cd /var/opt/cyberquest/networkagent/conf

Accesând fișierul de configurare config.ini vor apărea următoarele câmpuri:

Câmp Descriere
AgentGUID Identitatea globală unică a agentului
CompressMsg Mesaj de comprimare
DB_HOST Adresa gazdă a bazei de date mysql
DB_NAME Numele bazei de date mysql
DB_PASSWORD Parola bazei de date mysql
DB_USER Numele de utilizator al bazei de date mysql
DebugLevel Nivelul de depanare
EncryptMsg Mesaj de criptare
LocalCachePath Calea de fișier utilizată pentru stocarea datelor în cazul eroari de comunicare
RMQueueAddress Adresa serviciilor de așteptare
RMQueueName Numele coada de așteptare al serviciilor
RMQueuePassword Parola serviciilor de așteptare
RMQueuePort Portul serviciilor de așteptare
RMQueueUserName Numele de utilizator al serviciilor de așteptare
UDP_Listen_IP Setul de identificare IP auto-detectat pentru a asculta pachetele UDP pentru netflow
UDP_Listen_port Portul setat pentru a asculta pachetele UDP pentru netflow

5.1.8 Agent de gazdă

Navigați la locație cd /var/opt/cyberquest/host_agent/conf

Accesând fișierul de configurare config.ini vor apărea următoarele câmpuri:

Câmp Descriere
AgentGUID Identitatea globală unică a agentului
AgentMsgSrvPort Portul agent utilizat pentru mesagerie
CompressMsg Mesaj de comprimare
DatabaseLocation Locația bazei de date
DebugLevel Nivelul de depanare
DistroName Numele distribuției auto detectate
EncryptMsg Mesaj de criptare
LocalCachePath Aceasta este calea de fișier utilizată pentru stocarea datelor în caz de eșec al comunicării
Machine Arhitectura mașinii detectată automat
MsgSrvAddress Adresa serverului SIEM pentru mesagerie
MsgSrvPort Serverul portului SIEM pentru mesagerie
RMQueueAddress Adresa serviciilor de așteptare
RMQueueName Numele de utilizator al serviciilor de așteptare
RMQueuePassword Parola serviciilor de așteptare
RMQueuePort Portul serviciilor de așteptare
RMQueueUserName Numele de utilizator al serviciilor de așteptare
Template Fișierul care conține documente și folderele care trebuie monitorizate
VersionMajor Distribuția detectării automate al numărului versiunii majore
VersionMinor Distribuția detectării automate al numărului versiunii minore
sysname Tipul de kernel detectat automat