Skip to content

GHIDUL ADMINISTRATORULUI

Cuprins

Prezentare generală a Nextgen CyberQuest™

Serviciile și componentele

Interfața web CyberQuest

Gestionarea utilizatorilor și a grupurilor

Licențierea și gestionarea versiunilor CyberQuest

Gestionarea conectorilor de date (perimat)

Gestionarea serviciilor de transformare a datelor

Gestionarea dicționarului de evenimente

Gestionarea sarcinilor

Gestionarea aplicațiilor rețelei

Gestionarea tablourilor de bord, a filtrelor și a obiectelor

Setările aplicației

Gestionarea agentului de colectare Windows

Personalizarea fișierelor de configurare

Gestionarea depozitelor

Copia de siguranță a CyberQuest™

Anexa: Ghidul operatorilor logici și expresiile uzuale

Prezentare generală a Nextgen CyberQuest™

Despre Nextgen CyberQuest™

Nextgen CyberQuest™ este o soluție inovatoare de analiză a securității datelor de mari dimensiuni, concepută pentru a acoperi integral auditarea și securitatea rețelei companiei dvs. Am construit Nextgen CyberQuest™™ astfel încât să funcționeze ca o platformă agilă și scalabilă de business, care colectează și corelează inteligent datele din infrastructura IT a organizației și care lucrează cu acestea, în scopul soluționării oricărui tip de amenințare curentă sau viitoare, prin care poate trece activitatea.

Nextgen CyberQuest™ poate fi adaptată la orice specific și dimensiune a organizației și integrează cu ușurință toate soluțiile de securitate de pe piață, indiferent de clasificarea acestora. CyberQuest™ comasează datele de securitate provenite fie din software-uri de securitate a informațiilor și management al evenimentelor, firewall-uri, platforme de prevenire și detectare a intruziunilor, fie din soluții de securitate pentru e-mail și puncte finale. În plus, CyberQuest™ poate colecta, corela și furniza perspective utile privind datele eterogene generate de echipamentul de rețea, servere, bază de date și aplicații, reprezentând un aliat al managementului operațional pentru echipele dvs. administrative și de securitate:

  • Colectare - gruparea tuturor surselor de date de securitate și date relevante din infrastructura dvs.

  • Corelare -- adăugarea datelor de securitate referitoare la amenințări pentru corelarea offline și online

  • Detectare -- identificarea rapidă a celor mai semnificative amenințări pentru rețeaua dvs.

  • Vizualizare -- monitorizarea cu precizie, în cadrul unui sigur punct de acces și obținerea alertelor specifice

  • Răspuns -- generarea rapoartelor și proces decizional în deplină cunoștință de cauză.

CyberQuest™ corelează și monitorizează întreaga activitate desfășurată la nivelul structurii dvs. și oferă informații detaliate despre modificările vitale și activități, în timp real și pe măsură ce acestea se produc. Veți ști instantaneu cine, ce, unde, când și de ce a făcut o modificare și apoi veți transforma informațiile respective în dovezi judiciare inteligente, aprofundate, cu date suplimentare din întregul mediu, veți pune informațiile respective la dispoziția auditorilor și ofițerilor de securitate și veți reduce riscurile asociate modificărilor cotidiene.

Conceptul și disponibilitatea

Nextgen CyberQuest™ poate fi integrat continuu în infrastructura dvs. existentă și poate oferi monitorizarea în timp real a datelor și a comportamentului utilizatorului, detectarea datelor, analiza și corelarea datelor, informații despre securitate și gestionarea evenimentelor, într-o singură platformă, permițându-vă:

  • să aveți o vizibilitate unificată și sporită asupra infrastructurii pentru managementul securității

  • să asigurați și să urmăriți conformitatea normativă, auditurile de securitate și politica,

  • să reduceți rapid și precis amenințările la adresa organizației

  • să optimizați și să generați rapoarte predefinite, gata de utilizare

  • să vă îmbunătățiți securitatea existentă și capacitățile de răspuns la incidente prin soluțiile de gestionare a evenimentelor.

Nextgen CyberQuest™ este un produs de tip echipament (hardware & software), care suportă topologii multi-redundante și care poate fi dezvoltat pe orizontală, prin instalarea unui număr aleatoriu de noduri de procesare sau pe verticală, prin adăugarea resurselor de procesare. Ținând cont de flexibilitatea implementării, soluția poate fi configurată cu ușurință pentru a îndeplini provocările implementării în locații multiple. Soluția este disponibilă și prin oferta „software-as-a-service" (software ca serviciu). Vă rugăm să verificați la distribuitorul local care sunt opțiunile de licență disponibile.

Funcțiile sale principale sunt asigurate de module multiple:

  • normalizarea informațiilor disponibile din sistemele SIEM în format propriu, prin conectori speciali dedicați;
  • modul de raportare;
  • modul de investigare (ca scop principal al aplicației);
  • modul de detectare a anomaliilor (activat prin implementarea unei funcționalități IA);
  • modul administrativ (asigură funcții de configurare și management pentru aplicație);
  • modul de alertare (asigură alerte în timp real pentru situațiile configurabile, cu acțiuni de răspuns configurabile);
  • modul de management al cazurilor;
  • modulul sistemului de transformare a datelor;

Pentru detalii suplimentare referitoare la arhitectură, topologie și distribuirea în locații multiple, vă rugăm să consultați documentația „Ghidul de implementare a Nextgen CyberQuest™ 2.15".

Descrierea fluxului de date de nivel înalt

Nextgen CyberQuest™ este o platformă dedicată de analiză a securității, destinată utilizării de către responsabilii cu securitatea IT. De aceea, CyberQuest™ ajută la asigurarea securității companiilor și respectă reglementările interne și industriale, prin colectarea volumelor mari de date disparate din infrastructură și soluții terțe de securitate, la comasarea și îmbunătățirea datelor colectate, prezentând personalului responsabil cu securitatea informațiile utile despre posibilele riscuri și amenințări, în timp real.

Inițial, datele în timp real sunt colectate din surse diverse, folosind facilitățile WMI, syslog, NetFlow, ODBC ale CyberQuest sau capacitățile de colectare la nivel de fișier. Datele sunt organizate în cozi expediate la Data Acquisition Service (DAS), care aplică regulile de achiziție și expediază datele brute către Data Transformation Service (DTS). DTS este responsabil pentru analizarea datelor și generarea alertelor în timp real.

Odată ce regulile de analiză sunt aplicate, datelor transformate li se aplică regulile de retenție. Regulile de retenție vor indica dacă datele sunt stocate în spațiul de stocare online sau în cel pentru datele de arhivă. Viteza de acces este diferența majoră dintre cele două tipuri de stocare. Stocarea online folosește indexarea datelor necomprimate, făcând astfel informațiile disponibile în decurs de câteva secunde, în detrimentul spațiului. Stocarea datelor în arhivă este concepută pentru păstrarea datelor pe termen lung, fără a impune o limită a volumului maxim de date. Arhiva stochează date în fișiere comprimate și criptate, cu un raport de compresie standard de 1:20.

.

Spațiile de stocare online și din arhivă fac schimb de date în funcție de necesități. Atunci când este necesară o anumită informație, datele sunt extrase automat și importate în noduri ElasticSearch pentru procesare. Corelarea este executată de către un server CyberQuest, iar informațiile rezultate sunt prezentate pe tablourile de bord și în rapoarte.

Interfața CyberQuest Web este modulul central folosit atât pentru management, cât și pentru utilizarea platformei. Interfața web folosește un front-end care permite administratorilor și operatorilor să interacționeze cu Nextgen CyberQuest™. În funcție de nivelul de acces permis, utilizatorul va putea accesa rapoartele, tablourile de bord, investigațiile, browser-ul și modulele de alertă și va putea beneficia de întregul set de analiză a securității.

Serviciile și componentele

Colectarea datelor

Colectarea datelor este un serviciu distribuit, conectat cu mai multe componente, care poate fi inclus în echipamentul principal sau poate fi independent, pentru a susține arhitecturi de tip stea sau cloud. Odată colectate, datele sunt criptate și comprimate, apoi transportate prin magistrala cozilor de mesaj, către sistemul de stocare.

Dacă datele nu pot fi transmise serviciului de adăugare a mesajelor în coadă, agenții implicați vor executa caching local pentru livrarea ulterioară. Fiecare agent are un comportament diferit de caching:

  • Agentul de rețea și serverul de date creează fișiere pe stația gazdă, pentru a înregistra toate evenimentele. În timpul acestui proces nu se pierde niciun eveniment.

  • Windows Agent stochează până la 1 milion de evenimente. Comportamentul standard este acela că, în funcție de dimensiunea cozii, colectarea va necesita mai multă memorie pentru procesarea evenimentelor următoare.

Windows Agent

Windows Agent este o componentă de colectare a datelor, care interacționează direct cu sursele evenimentelor. Poate fi instalat pe stațiile de lucru și în servere; versiunea minimă este Windows 7 pentru stațiile de lucru și Windows Servers 2008 pentru servere și este dependent de software-ul Microsoft .NET Framework 4.5.2, vc_redist.x64_2015-2019, vcredist_x64_2012.

Agentul folosește șabloane de configurare care pot fi asociate uneia sau mai multor surse de date multiple. Șabloanele conțin setări specifice surselor de date: acreditări, maparea câmpului, filtrarea evenimentelor, scripturi de procesare a datelor, interogări ale bazei de date și altele.

Agentul adresează nativ următoarele surse de date:

  • colectarea WMI locală și de la distanță:

  • jurnalul de securitate Windows

  • jurnalul aplicațiilor Windows

  • jurnalul sistemului Windows

  • alte jurnale de aplicații și servicii în format standard Windows

  • colectarea MS SQL locală și de la distanță:

  • interogări pentru colectarea incrementală a datelor din tabelele bazelor de date, care conțin jurnale ale aplicației (versiunea minimă suportată este MS SQL Server 2005)

  • auditul serverului nativ SQL (versiunea minimă suportată este MS SQL Server 2008 Enterprise, MS SQL Server 2014 Express)

  • colectarea Oracle locală și /sau de la distanță:

  • interogări pentru colectarea incrementală a datelor din tabelele bazelor de date, care conțin jurnale ale aplicației (versiunea minimă suportată este MS Oracle 9i)

  • Audit nativ al instanței Oracle; ca setare implicită, soluția oferă șabloane pentru Oracle 9i, 10g, 11g și 12c

Pentru colectările personalizate, parametrii și mapările sunt configurate în fiecare șablon personalizat:

  • colectarea locală și/sau de la distanță a surselor ODBC care suportă driver-ele ODBC pe 64 de biți

  • colectarea locală și/sau de la distanță pentru sursele MySQL/MariaDB, inclusiv interogări de colectare incrementală a datelor din tabelele bazelor de date care conțin jurnalele aplicației și auditul platformei native

  • colectarea locală a fișierelor cu marcaj temporal în format CSV

  • colectarea locală a fișierelor personalizate analizabile, pentru care agentul folosește un script de pre-procesare

Agentul de rețea

Agentul de rețea este o componentă de colectare, concepută pentru colectarea informațiilor de trafic din rețea, compatibilă cu standardele NetFlow v5, NetFlow v9 și IPFIX. Acesta folosește implicit portul UDP 2055 și este instalat automat în implementările de tip all-in-one. Pentru arhitecturile distribuite, agentul poate fi instalat ca o componentă separată, găzduită în diverse segmente de rețea.

Serverul de date

Serverul de date este un serviciu distribuit, conectat cu mai multe componente, care poate fi inclus în echipamentul principal sau poate fi independent, pentru a susține arhitecturi de tip stea sau cloud. Serviciul este utilizat pentru executarea pre-analizării datelor în formatul nativ syslog, compatibil cu standardul RFC 5424.

De asemenea, serverul de date este listener-ul soluției pentru syslog și mesajele CEF primite de CyberQuest. Ca setare implicită, serviciul este configurat să asculte portul UDP 5140 pentru evenimente syslog și portul UDP 5141 pentru evenimente CEF.

Serviciile de transport și procesare a datelor

Serviciul Message Queueing (MQ)

Serviciul MQ transportă mesajele de la agenții de colectare a datelor către serviciile de procesare și stocare. Este un serviciu bazat pe tehnologia RabbitMQ.

Serviciul MQ stochează și procesează cozile de interconectare, folosind următoarele componente:

  • evenimente -- folosite pentru colectarea datelor de la agenți

  • stocare date -- folosită pentru procesarea datelor în serviciul de stocare date

  • Heartbeat -- folosit pentru procesarea datelor relevante pentru starea sursei de date

  • corelare date -- folosită pentru stocarea și procesarea datelor în serviciul de corelare date.

Serviciul MQ este instalat automat în implementările de tip all-in-one și folosește 2 Gb de memorie. Pentru eficiență sporită în mediile mari, vă recomandăm implementarea serviciului pe un sistem autonom. De asemenea, pentru disponibilitatea ridicată și scenariile de echilibrare a sarcinilor, cozile pot fi replicate pe un serviciu MQ secundar.

Serviciul de achiziționare a datelor

Serviciul de achiziționare a datelor procesează datele primite din coada de evenimente, de la serviciul MQ. Odată ce datele sunt decriptate și decomprimate, serviciul începe procesarea acestora în baza regulilor definite în regulamentele DA, transmițând informațiile utile prin fluxul de lucru al obiectelor DTS.

Serviciul de achiziționare a datelor este instalat automat în toate implementările de tip all-in-one. Pentru disponibilitatea ridicată și scenariile de echilibrare a sarcinilor, serviciul este implementat pe sisteme secundare și se conectează la serviciile MQ definite manual.

Serviciul de corelare a datelor

Serviciul de corelare a datelor folosește regulile de corelare a datelor pentru corelarea evenimentelor din CyberQuest, rezultatul final fiind utilizat sub formă de alerte în modulul Alerte.

La fel ca alte servicii de procesare a datelor din CyberQuest, acesta poate fi instalat pe un sistem separat, pentru performanță și disponibilitate sporită.

Serviciul de administrare

Serviciul de administrare verifică starea colectării datelor și emite alerte atunci când datele nu mai ajung la serverul de procesare. De asemenea, verifică starea și alertele atunci când apar probleme operaționale și legate de disponibilitate.

Servicii de stocare

Serviciul NoSQL

Serviciul NoSQL asigură stocarea pe termen scurt a datelor și evenimentelor primite.

Acest serviciu se bazează pe tehnologia ElasticSearch și folosește arhitecturile de implementare și distribuire ElasticSearch.

Serviciul de stocare a datelor

Serviciul de stocare a datelor asigură stocarea pe termen lung a datelor și evenimentelor primite.

Serviciul de stocare a datelor urmează arhitectura generală de implementare, pentru a îndeplini cerințele privind disponibilitatea ridicată și echilibrarea capacității. Sincronizarea datelor în scenariile de distribuție se face folosind tehnologia RSync între noduri, astfel încât să nu se piardă niciodată vreo informație.

Arhiva se bazează pe fișierele semnate, comprimate și codificate automat.

Alte servicii și componente

MariaDB

Oferă suport la nivelul bazei de date pentru CyberQuest. Baza de date este utilizată numai pentru stocarea configurațiilor. În baza de date nu se stochează date.

NginX

Oferă suport la nivelul aplicației web pentru interfața web.

Folosește protocolul HTTPS pentru a prezenta utilizatorilor interfața web.

PHP-FPM

Acesta este interpretul PHP din serverul web.

Cerebro

Asigură interfața de management pentru serviciul NoSQL și este utilizat numai pentru depanare și alte activități la nivel aprofundat.

De aceea, serviciul este dezactivat implicit.

Expeditor evenimente

Acesta este un modul bazat pe Windows, cu rolul de simulare a evenimentelor expediate în CyberQuest. Poate importa informațiile și evenimentele exportate anterior din interfața web în format JSON și permite modificarea informațiilor respective înainte de expediere.

Este utilizat pentru simularea și validarea scenariilor de corelare și alertare și pentru validarea arhitecturii scalate înainte de plasarea în producție.

Interfața web CyberQuest

Accesarea interfeței web

Interfața web este un front-end web consolidat care găzduiește toate funcționalitățile de administrare și funcționare ale Nextgen CyberQuest™. Interfața web este compatibilă cu toate browser-ele importante de pe piață.

Pentru accesarea interfeței web, deschideți un browser web și introduceți adresa sau denumirea DNS a aplicației. Adresa implicită alocată inițial interfeței web este https://192.168.100.1

Browser-ul vă redirecționează automat către pagina de autentificare a Nextgen CyberQuest™:

.

Autentificarea utilizatorului

Autentificarea se poate realiza într-una dintre cele două modalități:

  • Folosirea unui utilizator local definit în aplicație;

  • Folosirea unui utilizator Active Directory. Această facilitate permite autentificarea cu acreditările Active Directory, atunci când integrarea LDAP a fost configurată în aplicație. Utilizatorul trebuie să aparțină unuia dintre cele două grupuri de securitate Active Directory: „Administratori CyberQuest" sau „Utilizatori CyberQuest".

După introducerea numelui de utilizator și a parolei, apăsați butonul ..

Autentificarea inițială se efectuează sub contul implicit de administrare. La autentificarea ca administrator, apare o casetă suplimentare de confirmare. Această etapă suplimentară de autentificare a fost introdusă pentru a notifica accesul nediscriminatoriu la întreaga configurație a platformei și pentru a solicita confirmarea utilizatorului. Activitatea de super-administrator ar trebui executată cu maximum de responsabilitate și cunoștințe în domeniul administrării platformei. Configurația modificată eronat, regulile și politicile de retenție pot întrerupe accesul la datele de analiză, pot șterge sau deteriora obiecte și mai important decât atât, pot duce la a pierderea permanentă a datelor din istoric.

. .

În cazul în care sunteți de acord cu autentificarea ca administrator, apăsați butonul . și se va deschide interfața web. Dacă doriți să reveniți la conectare și să vă autentificați ca operator, apăsați butonul ..

Prezentare generală a interfeței web

După autentificare, se deschide interfața web Nextgen CyberQuest™. Modulul Tablouri de bord este afișat implicit. Interfața poate fi diferită, în funcție de permisiunile de acces ale fiecărui utilizator. Mai jos sunt descrise experiența utilizatorului și funcționalitățile interfeței la autentificarea ca administrator.

Interfața web poate fi împărțită în mai multe zone:

Zona modulelor

.

Din secțiunea din stânga-sus a interfeței web, puteți selecta afișarea modulului aplicației în zona operațională principală:

.

  • Tablourile de bord reprezintă modulul implicit, care se încarcă la prima autentificare în aplicație. Acesta permite operatorului să vizualizeze rapid informațiile incluse în depozit și acțiunile asupra obiectelor grafice conținute.

  • Rapoartele reprezintă modul de raportare dedicat al aplicației. Acesta include toate rapoartele predefinite și personalizate, de uz general și rapoartele definite pentru operatorul autentificat.

  • Modulul (sau modul) Investigații are rol de reprezentare grafică a informațiilor de audit din aplicație. Acest mod prezintă corelarea nativă a datelor și conectarea evenimentelor aparent relaționate. Astfel, se creează legături între diversele evenimente și câmpuri/șiruri.

  • Modulul (sau modul) Browser are rolul de afișare a informațiilor din jurnal prezente în sistem.

  • Modulul Alerte (sau modul de alertare) gestionează alertele și corelațiile alertelor și permite utilizatorilor să înceapă procese complete de investigare dintr-un punct inițial -- alerta de bază este afișată în zona operațiunilor principale. Butonul de alerte

Făcând clic pe logo-ul . afișat în colțul din stânga-sus al interfeței web, veți ajunge în ecranul „home", afișat după conectarea în aplicație.

Zona operațiunilor principale

Zona operațiunilor principale este locul în care persoanele care accesează aplicația își pot desfășura activitățile. Această zonă este specifică fiecărui modul (sau mod) accesat și există opțiuni disponibile în funcție de permisiunile alocate utilizatorului. În funcție de capacitățile fiecărui modul, zona operațiunilor principale poate avea conținut personalizat pentru fiecare utilizator -- cum ar fi tablouri de bord și rapoarte personalizate.

Conținutul și opțiunile disponibile sunt detaliate în fiecare capitol aferent modulelor din Ghidul utilizatorului CyberQuest™ 2.15.

Zona de performanță

Zona de performanță din partea din dreapta-sus a interfeței web, păstrează trei indicatori actualizați în timp real:

. CPU -- afișează capacitatea curentă a CPU în serverul aplicației web CyberQuest. Dacă deplasați cursorul în partea colorată a graficului, se deschide un sfat cu valoarea actuală a capacității curente.
. Memoria -- afișează capacitatea curentă a memoriei în serverul aplicației web CyberQuest. Dacă deplasați cursorul în partea colorată a graficului, se deschide un sfat cu valoarea actuală a capacității curente.
. Disc -- afișează capacitatea curentă a discului în serverul aplicației web CyberQuest. Dacă deplasați cursorul în partea colorată a graficului, se deschide un sfat cu valoarea actuală a capacității curente.

Zona de activitate a utilizatorului

Zona de activitate a utilizatorului din partea din dreapta-sus a interfeței web, include trei butoane de acțiune, după cum urmează:

  • Butonul Statistici . deschide un pop-up rapid cu informații statistice despre datele procesate. Sunt incluse următoarele informații:

    .

  • Evenimentele totale -- numărul total de evenimente stocate în mod curent online

  • Evenimentele din ultima oră -- numărul total al evenimentelor colectate în ultima oră

  • Evenimentele din ultima zi -- numărul total al evenimentelor colectate în ultima zi

  • Total alerte -- numărul total de alerte gestionate în mod curent de serverul aplicației

  • Alertele din ultima oră -- numărul total al alertelor emise în ultima oră

  • Alertele din ultima zi -- numărul total al alertelor emise în ultima zi

  • Butonul Utilizator . deschide meniul derulant Utilizator, care include opțiunile descrise mai jos:

    .

  • Opțiunea Bine ai venit, \<utilizator> indică utilizatorul înregistrat în mod curent

  • Opțiunea Modificare parolă deschide fereastra Modificare parolă, unde utilizatorul conectat își poate modifica parola.

  • Opțiunea Planificări executate deschide raportul Planificările mele executate, care include toate planificările executate de utilizatorul înregistrat în mod curent.

  • Opțiunea Gestionare caz, deschide modulul Gestionare caz pentru utilizatorul conectat în mod curent

  • Opțiunea Deconectare va deconecta utilizatorul conectat în mod curent.

  • Butonul Setări . deschide meniul derulant Setări, care include opțiunile descrise mai jos:

    .

  • Utilizatori și grupuri > Utilizatori și Utilizatori și grupuri > Grupuri sunt opțiuni care permit administratorului să vizualizeze, să adauge, să editeze sau să șteargă utilizatori și grupuri. Utilizatorii au la dispoziție acțiuni suplimentare: schimbare parolă, activare sau dezactivare, copierea grupurilor de bord la utilizatori.

  • Opțiunea Conectori deschide pagina de configurare pentru Conectori date, permițând administratorului să afișeze toți conectorii configurați, să adauge un conector nou sau să execute acțiuni pentru cei existenți. Acțiunile posibile includ activarea/dezactivarea, duplicarea, vizualizarea, editarea și ștergerea.

  • Opțiunea Dicționar evenimente deschide pagina de configurare pentru Definiții evenimente, permițându-i administratorului să afișeze toate definițiile evenimentelor, să adauge o nouă definiție a evenimentelor sau să importe o definiție dintr-un fișier extern, să execute acțiuni pentru definițiile existente ale evenimentelor. Acțiunile posibile includ exportarea, vizualizarea, editarea și ștergerea.

    .

  • Opțiunea Management > Tablouri de bord evenimente deschide pagina de configurare pentru Tablouri de bord, permițându-i administratorului să afișeze toate tablourile de bord definite, să importe o definiție dintr-un fișier extern sau să execute acțiuni la tablourile de bord existente. Acțiunile posibile includ editarea și ștergerea.

  • Opțiunea Management > Filtre deschide pagina de configurare pentru Filtre, permițând administratorului să afișeze toate filtrele definite, să adauge un filtru nou sau să execute acțiuni pentru cele existente. Acțiunile posibile includ vizualizarea, editarea și ștergerea.

  • Opțiunea Management > Obiecte deschide pagina de configurare Management obiecte, permițând administratorului să afișeze obiectele, listele de obiecte, să adauge un obiect nou sau o listă nouă de obiecte sau să importe obiecte dintr-un fișier CVS extern. Acțiunile posibile pentru obiectele afișate sunt editarea și ștergerea.

    .

  • Opțiunea Alerte > Timp real deschide lista alertelor definite în modulul Alerte, permițând administratorului să creeze o nouă definiție a alertei sau să importe alerta dintr-un fișier extern și să execute acțiuni asupra definițiilor existente ale alertelor. Acțiunile posibile sunt editarea, exportarea și ștergerea.

  • Opțiunea Alerte > Sumar deschide o listă cu sumarul personalizat al alertelor în modulul Alerte, permițând unui administrator să afișeze toate șabloanele alertelor, să creeze un nou șablon de alertă sau să creeze o nouă alertă sumară înregistrată. Acțiunile posibile pentru alertele sumare afișate includ activarea/dezactivarea, vizualizarea, editarea și ștergerea.

  • Opțiunea Alerte > Șabloane notificare deschide pagina de configurare pentru Șabloane alertă, permițând administratorului să creeze un nou șablon de alertă sau să acționeze asupra șabloanelor de alertă afișate. Acțiunile posibile includ editarea și ștergerea.

    .

  • Opțiunea Reguli > Reguli filtru deschide pagina de configurare pentru Reguli filtru, permițându-i administratorului să creeze o nouă regulă de filtrare, să importe o regulă de filtrare dintr-un fișier extern sau să execute acțiuni pentru cele existente. Acțiunile posibile includ activarea/dezactivarea, exportarea, editarea și ștergerea.

  • Opțiunea Reguli > Obiecte DTS deschide pagina de configurare pentru Obiecte DTS, permițându-i administratorului să creeze și să importe un obiect DTS dintr-un fișier extern sau să execute acțiuni asupra celor existente. Acțiunile posibile includ activarea/dezactivarea, exportarea, editarea și ștergerea.

  • Opțiunea Reguli > Reguli DA deschide pagina de configurare pentru Reguli DA, permițându-i administratorului să creeze și să importe o regulă de achiziționare a datelor dintr-un fișier extern sau să execute acțiuni asupra celor existente. Acțiunile posibile includ activarea/dezactivarea, ordonarea, editarea și ștergerea.

    .

  • Opțiunea Sarcini > Sarcini deschide pagina de configurare, permițând administratorului să creeze o sarcină nouă sau să execute acțiuni la cele existente. Acțiunile posibile includ activarea/dezactivarea, executarea, editarea și ștergerea.

  • Opțiunea Sarcini > Executări sarcini deschide lista executării sarcinilor. Puteți șterge o execuție a sarcinii și vizualiza starea execuției pentru fiecare sarcină afișată.

    .

  • Opțiunea Aplicații rețea deschide pagina de configurare pentru Aplicații rețea, permițând administratorului să creeze o nouă aplicație de rețea, să caute în listă sau să execute acțiuni pentru cele existente. Acțiunile posibile includ editarea și ștergerea.

  • Opțiunea Stocări date deschide pagina de configurare Stocări date, permițând administratorului să creeze o nouă stocare a datelor sau să execute acțiuni asupra celor existente. Acțiunile posibile includ editarea și ștergerea.

  • Opțiunea Starea sursei de date deschide un raport cu toate sursele de date și starea acestora. Raportul permite ștergerea surselor de date și modificarea orei de alertă. Fiecare sursă de date este prezentată cu o stare. Pagina include un câmp de căutare și posibilitatea de a sorta în funcție de fiecare coloană. Raportul poate fi personalizat în ceea ce privește detaliile incluse și excluse și poate fi exportat în format CSV.

    .

  • Opțiunea Verificator câmpuri lot deschide fereastra Verificator câmpuri lot, permițându-vă să încărcați un fișier de text și să executați verificarea lotului. Rezultatele pot fi exportate în format CSV.

  • Fiecare dintre opțiunile din Setări aplicații deschide pagina de configurare Setări aplicație, permițând administratorului să configureze detaliat principalele setări ale CyberQuest™. Pagina prezintă capacitățile de configurare pentru:

    .

  • integrarea Active Directory

  • parametrii de funcțiare

  • șabloanele de alertă

  • activele și grupurile de active

  • personalizarea identității compie

  • parametrii de achiziționare a datelor

  • parametrii de corelare a datelor

  • parametrii serverului de date

  • parametrii de stocare a datelor

  • identificarea ElasticSearch

  • setările e-mail

  • calea de exportare a rapoartelor

  • perioada de păstrare a depozitului online și a arhivei

  • entitățile găzduite definite.

Zona rapoartelor rapide

.

Oferă o casetă de căutare pentru toate rapoartele disponibile unui utilizator înregistrat. Rapoartele devin vizibile pe măsură ce tastați. Prin selectarea unui raport din rezultatele căutării derulante, veți ajunge la raportul din modulul de rapoarte.

Modificarea parolei utilizatorului

Odată autentificat, un utilizator poate schimba parola din meniul utilizatorului. Aceasta este o acțiune recomandată insistent după prima conectare și poate fi executată în orice moment ulterior.

Pentru a vă modifica parola, accesați opțiunea Utilizator > Modificare parolă. Se deschide fereastra pentru modificarea parolei:

a. Introduceți parola curentă în câmpul Parolă veche.

a. Introduceți parola nouă în câmpul Parolă nouă. Asigurați-vă că respectați cerințele de complexitate setate pentru mediul specific al companiei.

c. Repetați parola noua în câmpul Confirmare parolă.

d. Apăsați butonul . pentru a memora parola nouă și închideți fereastra sau apăsați butonul ., pentru a închide fereastra fără să salvați modificările. Opțional, puteți închide fereastra fără să salvați modificările, făcând clic pe semnul . din colțul din dreapta-sus.

.

e. După schimbarea parolei, vă recomandăm să vă deconectați, făcând clic pe Utilizator > Deconectare din meniul Utilizator.

Un administrator cu privilegii de gestionare a utilizatorilor își poate schimba parola și poate de asemenea schimba parolele oricărui alt utilizator. Pentru a face acest lucru:

a. În meniul Setări, faceți clic pe Utilizatori și grupuri > Utilizatori. Se deschide pagina de configurare a utilizatorilor.

b. Faceți clic pe butonul . pentru dvs. sau pentru utilizatorul căruia trebuie să îi schimbați parola. Se deschide o nouă fereastră Modificare parolă utilizator.

c. Introduceți noua parolă în câmpurile Parolă și Parolă nouă

d. Apăsați butonul . pentru a memora parola nouă și închideți fereastra sau apăsați butonul ., pentru a închide fereastra fără să salvați modificările. Opțional, puteți închide fereastra fără să salvați modificările, făcând clic pe semnul . din colțul din dreapta-sus.

.

e. Instruiți utilizatorul să se deconecteze din aplicație și apoi să se reconecteze.

Gestionarea utilizatorilor și a grupurilor

Controlul accesului în funcție de rol (RBAC)

Conturile de utilizator create, pot fi configurate pentru accesarea componentelor în funcție de rolul utilizatorului alocat contului respectiv. Puteți adăuga sau edita roluri și conturi de utilizator, după caz.

Adăugarea sau editarea rolurilor de utilizator

Rolurile de utilizator sunt alocate conturilor de utilizator, pentru a controla accesul la interfața web. Puteți adăuga sau edita rolurile de utilizator, după caz. Rolurile sunt alocate la nivel de grup.

Pentru adăugarea sau editarea rolurilor de utilizator:

a. Conectați-vă în aplicație cu contul administrativ.

b. Navigați în setări, extinzând . din colțul din dreapta-sus al interfeței, apoi faceți clic pe Utilizatori și grupuri > Grupuri.

.

c. În fereastra Grupuri, faceți clic pe opțiunea Grup nou.

.

d. Se deschide fereastra Adăugare grup. În fereastra Adăugare grup:

În câmpul Nume, introduceți un nume, cum ar fi Permisiuni restricționate utilizatori.

În câmpul Utilizatori, selectați utilizatorii vizați de regulile predefinite.

În câmpul Permisiuni alocate, selectați permisiunile corespunzătoare pentru utilizatorii selectați.

În câmpul Permisiuni date, selectați datele corespunzătoare pe care utilizatorii selectați le pot vizualiza.

.

e. Noul grup este dezactivat implicit. Activați grupul selectând opțiunea ..

f. Apăsați butonul . pentru a adăuga noul grup definit și închideți fereastra sau apăsați butonul ., pentru a închide fereastra fără să salvați modificările. Opțional, puteți închide fereastra fără să salvați modificările, făcând clic pe semnul . din colțul din dreapta-sus.

Ștergerea grupurilor de utilizatori

Pentru a șterge un grup, navigați în setări, extinzând . din colțul din dreapta-sus al interfeței, apoi faceți clic pe Utilizatori și grupuri > Grupuri. Apăsați pe pictograma . și confirmați ștergerea grupului dorit. Procedura este ireversibilă.

Grupurile încorporate nu pot fi șterse.

Editarea grupurilor de utilizatori

Pentru a edita un grup, navigați în setări, extinzând . din colțul din dreapta-sus al interfeței, apoi faceți clic pe Utilizatori și grupuri > Grupuri. Apăsați pe pictograma .. Se afișează fereastra de editare a grupului, unde puteți schimba numele grupului, membrii grupului, permisiunile alocate și permisiunile de date.

Modificarea membrilor grupului, a permisiunilor alocate și a permisiunilor de date se face prin selectarea sau deselectarea obiectelor din fiecare listă derulantă.

.

Puteți modifica inclusiv starea grupului, ca fiind Activat sau Dezactivat. Starea grupului poate fi modificată rapid din fereastra grupurilor principale, folosind butonul de opțiune Activ și apoi selectând Pornit și Oprit. În acest caz, modificările se salvează automat.

.

Pentru grupurile încorporate, veți putea doar să adăugați sau să eliminați membri.

f. Apăsați butonul . pentru a memora modificările și închideți fereastra sau apăsați butonul ., pentru a închide fereastra fără să salvați modificările. Opțional, puteți închide fereastra fără să salvați modificările, făcând clic pe semnul . din colțul din dreapta-sus.

Migrarea tablourilor de bord

Fiecare utilizator își poate crea propriile grupuri de bord, care să conțină propriile tablouri de bord. După crearea unui utilizator nou, un administrator poate copia grupurile de bord de la un alt utilizator, care are deja grupurile de bord configurate. Pentru aceasta, urmați pașii de mai jos:

a. Conectați-vă în aplicație cu contul administrativ.

b. Navigați în setări, extinzând . din colțul din dreapta-sus al interfeței, apoi faceți clic pe Utilizatori și grupuri > Utilizatori.

.

c. În fereastra Utilizatori, selectați Copiere grupuri de bord la utilizator

.

d. Se va deschide fereastra Copiere grupuri de bord la utilizator. Verificați utilizatorii sursă și de destinație din listele derulante Utilizatorul de unde se copiază grupurile de bord și Utilizatorul unde se copiază grupurile de bord. Selectați grupurile de bord dorite din lista derulantă Grupuri de bord copiate și apăsați pe Trimitere, pentru a salva modificările.

. .

e. Deconectați-vă din contul administrativ și conectați-vă cu contul noului utilizator. După conectarea cu succes, modulul Tablouri de bord va afișa noile grupuri de bord, selectate în timpul etapei anterioare.

Permisiunile de date

Soluția oferă opțiuni pentru permisiunile de date, care combinate cu caracteristicile de acces bazate pe roluri, oferă un control detaliat asupra datelor puse la dispoziția membrilor utilizatori ai unui grup. Permisiunile de date sunt setate la nivel de grup.

Pentru a modifica permisiunile de date pentru un grup existent:

a. Conectați-vă în aplicație cu contul administrativ.

b. Navigați în Setări, extinzând . din colțul din dreapta-sus al interfeței, apoi faceți clic pe Utilizatori și grupuri > Grupuri.

.

c. În fereastra Grupuri, faceți clic pe butonul . pentru grupul care include utilizatorul pentru care doriți să modificați permisiunile de date. Se deschide fereastra Editare grup.

d. În câmpul Permisiuni de date, selectați sau deselectați permisiunile de date corespunzătoare. Dacă nu se selectează niciun filtru, utilizatorul va avea acces nerestricționat la toate datele disponibile.

Alt text

f. Apăsați butonul . pentru a memora modificările și închideți fereastra sau apăsați butonul ., pentru a închide fereastra fără să salvați modificările. Opțional, puteți închide fereastra fără să salvați modificările, făcând clic pe semnul . din colțul din dreapta-sus.

Configurarea autentificării LDAP

În interfața web, selectați Setări > Setări aplicație > Active Directory. Se deschide pagina de configurare Active Directory.

Puteți edita câmpurile de mai jos:

  • Serverul Active Directory (adresă): Adresa de IP a rețelei controlerului domeniului Active Directory, de interogat

  • Portul Active Directory: Portul pentru conectarea cu serviciul LDAP Active Directory. Portul implicit este 389.

  • Sufixul Active Directory: FQDN din domeniul Active Directory. Exemplu: „domain.com"

  • Active Directory Basedn: Locația utilizatorului folosit pentru conectarea la Active Directory. Exemplu: "CN=Users,DC=domain,DC=com".

  • Utilizator Active Directory: Utilizatorul administrator folosit pentru conectarea la Active Directory. Exemplu: „domain\Administrator". Acesta este și utilizatorul implicit prin care CyberQuest va efectua colectarea evenimentelor din infrastructura Active Directory

  • Parolă Active Directory: Parola contului pentru numele utilizatorului menționat anterior.

  • Grupul Active Directory: Grupul Active Directory destinat sincronizării utilizatorilor cu CyberQuest.

    .

f. Pentru fiecare setare, apăsați butonul . pentru a memora modificările și închideți fereastra sau apăsați butonul ., pentru a închide fereastra fără să salvați modificările. Opțional, puteți închide fereastra fără să salvați modificările, făcând clic pe semnul . din colțul din dreapta-sus.

Licențierea și gestionarea versiunilor CyberQuest

Modul de licențiere CyberQuest

CyberQuest este disponibil în două variante principale: cea gratuită sau cea comercială. În funcție de capacități și de complexitatea mediului auditat, există oferte multiple pentru versiunea comercială: Standard, Advanced, Enterprise și Ultimate.

Fiecare dintre versiunile comerciale are un model de licențiere diferit. Vă rugăm să contactați distribuitorul din zona dvs., pentru detalii suplimentare despre opțiunile disponibile.

Fiecare model de licențiere se bazează pe numărul permis de utilizatori activi, numărul de nuclee CPU ce pot fi utilizate de către server, numărul maxim de evenimente procesate pe secundă și cantitatea maximă de date ce pot fi procesate zilnic. În funcție de modelul de licențiere selectat, există restricții și în ceea ce privește conectorii disponibili, nodurile și diversele obiecte de configurare.

Pentru accesarea modulului de licențiere, mergeți la Setări > Despre. Se deschide fereastra Despre CyberQuest, cu informații despre instanța accesată.

.

Informațiile disponibile sunt:

  • ID-ul unic al hardware-ului pe care se emite licența permanentă

  • Informații privind zilele de licență rămase pentru licențele temporare sau cele de testare

  • Notificarea tipului de licență dacă produsul dvs. are sau nu licență

  • Versiunea platformă pentru care s-a înregistrat o licență.

Fereastra conține și versiunea și data fabricării pentru fiecare modul licențiat.

Un nou cod de licență poate fi lipit în câmpul Cod de licență și aplicat prin apăsarea butonului Adăugare cod de licență. O licență adăugată poate fie înlocui licența curentă, fie furniza funcționalități suplimentare ca în cazul licențelor de completare.

Faceți clic pe . pentru afișarea informațiilor detaliate despre licența dvs.

.

Caracteristici Valoare
 Managementul activelor Da
 Rapoarte de conformitate Da
 Tablouri de bord personalizate Da
 Număr maxim de grupuri de bord Nelimitat
 Geo-locație Da
 Stocare maximă a datelor pe termen lung (în zile) Nelimitat
 Cantitate max. de date pe zi (în MB) Nelimitat
Caracteristici Valoare
 Număr maxim de tablouri de bord active Nelimitat
 Număr maxim de nuclee CPU de procesare Nelimitat
 Număr maxim de obiecte de servicii de transformare date Nelimitat
 Număr maxim de noduri de date ElasticSearch Nelimitat
 Închiriere multiplă Da
 Colaj NetFlow Da
 Colectare date Netflow Da
Caracteristici Valoare
 Număr maxim de utilizatori ai aplicației Nelimitat
 Număr maxim de filtre de permisiuni de date Nelimitat
 Rapoarte Da
 Număr maxim de zile pentru păstrare online Nelimitat
 Sunt disponibile alerte simple Nelimitat
Caracteristici Valoare
 Sunt disponibile alerte rezumat Nelimitat
 Colectare date Syslog Da
 Colectare Windows Agent Da

Cum funcționează licența CyberQuest

Mai jos este prezentată o scurtă descriere a fiecărui criteriu de licențiere;

  • Nr. max. de utilizatori - este numărul maxim de utilizatori activi, pe care îl permite soluția

  • Nr. de nuclee incluse -- soluția funcționează pe un dispozitiv independent bazat pe sistemul de operare Linux Debian 9 Numărul de nuclee CPU incluse în licență reprezintă numărul maxim de nuclee CPU din sistemul în care funcționează CyberQuest.

  • Nr. max. de EPS incluse -- reprezintă numărul maxim de evenimente pe secundă, ce poate fi procesat de soluție, fiind calculat în principal în funcție de numărul de nuclee CPU, dar și în funcție de capacitățile de hardware ale sistemului

  • Date max. pe zi GB -- în funcție de configurarea instanței, reprezintă cantitatea maximă de date ce poate fi procesată de soluție, în funcție de licența dvs.

  • Nr. max. de nuclee CPU per instanță -- reprezintă numărul maxim de nuclee CPU ce pot fi licențiate pentru o instanță CyberQuest. Acest număr poate fi majorat prin adăugarea de licențe pentru mai multe nuclee CPU (de completare).

  • Tablouri de bord -- notifică dacă versiunea selectată are acces la funcționalitatea Tablouri de bord din CyberQuest

  • Tablouri de bord personalizate -- notifică dacă versiunea selectată are acces la editarea și crearea tablourilor de bord de către utilizatorii platformei

  • Numărul max. de tablouri de bord active per grup de bord -- notifică numărul maxim de tablouri de bord care poate fi activ într-un grup de bord, pentru versiunea selectată.

  • Nr. max. de grupuri de bord -- reprezintă numărul maxim de grupuri ce pot fi active într-o instanță

  • Permisiunile de date: numărul de filtre -- notifică permisiunea de aplicare a filtrelor pentru datele procesate de CyberQuest, precum și numărul de filtre permis de licență

  • Stocarea datelor pe termen scurt (zile) -- în funcție de capacitatea de stocare, reprezintă numărul maxim de zile permis de licență, în care se pot stoca date în baza de date online

  • Stocarea datelor pe termen lung (zile) -- în funcție de capacitatea de stocare, reprezintă numărul maxim de zile permis de licență, în care se pot stoca date în baza de date offline și dacă licența permite arhivarea

  • Nr. max. de noduri ElasticSearch per instanță -- reprezintă numărul maxim de noduri ElasticSearch, pentru care licența permite atașarea la o instanță CyberQuest.

  • Număr max. de obiecte DTS -- este numărul maxim de obiecte active permise de licență în modul Serviciile CyberQuest de transformare a datelor.

  • Geolocația -- notifică dacă versiunea selectată are acces la funcționalitatea geolocației în CyberQuest

  • Rapoarte -- notifică dacă versiunea selectată are acces la funcționalitatea Rapoarte din CyberQuest

  • Rapoarte de conformitate -- notifică dacă licența dvs. activează și rapoartele de conformitate încorporate în standarde

  • Managementul activelor -- se referă la capacitatea de inventariere din CyberQuest, activă sau nu în cadrul licenței dvs.

  • Colectare Windows Agent -- notifică dacă versiunea selectată poate folosi colectarea bazată de Windows Agent

  • Colectare date ODBC -- notifică dacă versiunea selectată poate folosi colectarea bazată de ODBC

  • Colectare date Syslog -- notifică dacă versiunea selectată poate folosi colectarea bazată syslog

  • Colectare date NetFlow -- notifică dacă versiunea selectată poate folosi colectarea NetFlow

  • Colaj NetFlow Stitching -- notifică dacă versiunea selectată poate asocia evenimentele de expediere și recepție pentru comunicarea TCP/IP și formarea unui eveniment unificat în acest proces

  • Server de date multiple pentru topologii avansate -- reprezintă abilitatea de implementare a instanțelor Data Server multiple, pentru colectarea datelor din diverse segmente de rețea

  • Închiriere multiplă -- reprezintă capacitatea de a rula mai mulți clienți pe aceeași instanță

  • Alerte simple (reguli cu 1 pas) -- notifică dacă ediția selectată poate utiliza alerte cu un singur pas și numărul maxim permis al acestora

  • Alerte corelate (reguli cu mai mulți pași) -- notifică dacă ediția selectată poate utiliza alerte cu mai mulți pași și numărul maxim permis al acestora

  • Alerte rezumat -- notifică dacă ediția selectată poate utiliza alerte rezumat și numărul maxim permis al acestora

Vă rugăm să verificați exemplele furnizate pentru diversele produse și versiuni CyberQuest

.

.

.

.

.

.

Gestionarea conectorilor de date (perimat)

Lucrul cu conectorii de date

În interfața web, selectați Setări > Conectori. Se deschide pagina de configurare Conectori date.

Aici puteți gestiona conectorii SIEM care au legătură cu sursele de colectare.

Din meniul rapid Acțiuni, selectați Conector de date nou. Se va deschide pagina de configurare Adăugare Conector, unde puteți defini un nou sistem conectat.

Selectați lista derulantă Tip conector, pentru a selecta din lista de conectori încorporați. Posibilele opțiuni sunt: Quest InTrust, AlienVault, NEC Neoface, Splunk 6 Connector, WMI Connector, Syslog.

Conectorii bazați pe tehnologie vor fi perimați în următoarea versiune majoră și funcționalitatea „conector" va fi implementată în Windows Agent.

Pentru compatibilitatea inversă, mai jos este inclusă o descriere a câmpurilor disponibile la un conector generic:

  • Un Nume de afișare și o Descriere reprezentativă pentru acest conector

  • Opțional, adăugați Notele necesare

  • O Planificare pentru procesul de colectare a datelor. Se recomandă să setați cel puțin 15 minute între colectări.

  • Ultima valoare folosită ca punct de plecare pentru colectare, sub forma aaaa-ll-zz, HH🇲🇲ss.000

  • Gazda bazei de date sub forma denumirii instanței serverului SQL; numele instanței introduse este întotdeauna \<server>\\<instance>. Pentru instanța implicită MSSQLSERVER, se poate folosi denumirea serverului sau adresa rețelei.

  • Denumirea bazei de date unde se află datele de audit; denumirea implicită este InTrust_Audit_DB

  • Utilizatorul bazei de date este un cont SQL sau un cont Windows care are cel puțin permisiunea db_reader pentru baza de date sursă a auditului

  • Parola bazei de date este parola de conectare a contului de mai sus

  • Tabelul personalizat este vizualizarea consolidată disponibilă la nivelul bazei de date; ca setare implicită, aceasta este vw_allevents

După finalizarea creării unui conector nou, apăsați pe butonul . pentru a memora modificările.

Toți conectorii definiți sunt prezentați pe pagina de configurare a conectorilor de date. Meniul Acțiuni include o casetă de text pentru Căutare, unde puteți căuta un conector din listă. Puteți să sortați lista folosind oricare dintre detaliile listei descrise mai sus.

.

Puteți modifica parola, vizualiza detalii, edita, șterge sau activa/dezactiva oricare dintre conectorii incluși în listă. Posibilele acțiuni depind de permisiunile setate pentru contul de utilizator înregistrat.

Pentru a schimba parola unui conector specific, apăsați pe butonul C:\Users\adria\AppData\Local\Packages\microsoft.microsoftedge_8wekyb3d8bbwe\AC\#!001\MicrosoftEdge\Cache\F7CZLT58\pic13[1].jpg, de lângă acesta. Se deschide fereastra Modificare parolă pentru conector. Introduceți parola nouă de două ori, apoi apăsați butonul . pentru a memora modificările și închideți fereastra sau apăsați butonul ., pentru a închide fereastra fără să salvați modificările. Opțional, puteți închide fereastra fără să salvați modificările, făcând clic pe semnul . din colțul din dreapta-sus.

C:\Users\adria\AppData\Local\Packages\microsoft.microsoftedge_8wekyb3d8bbwe\AC\#!001\MicrosoftEdge\Cache\M4X79ICS\2.5.4_Change_Passoword[1].jpg

Pentru vizualiza detaliile unui conector specific, apăsați pe butonul C:\Users\adria\AppData\Local\Packages\microsoft.microsoftedge_8wekyb3d8bbwe\AC\#!001\MicrosoftEdge\Cache\UUZDWFWI\pic14[1].jpg, de lângă acesta. Se deschide pagina Conector, care include detaliile acestuia. De aici, puteți alege rapid să editați sau să ștergeți conectorul, puteți adăuga un conector nou sau puteți reveni la lista conectorului, selectând opțiunile corespunzătoare din meniul Acțiuni.

C:\Users\adria\AppData\Local\Packages\microsoft.microsoftedge_8wekyb3d8bbwe\AC\#!001\MicrosoftEdge\Cache\8NBSAFAY\2.5.5_Connector_view_details[1].jpg

Pentru a edita detaliile unui conector specific, apăsați pe butonul ., de lângă acesta. Se deschide pagina Editare conector, care vă permite să schimbați valorile cu atributele descrise, pentru a crea noul conector de date de mai sus. Un comutator suplimentar vă permite să activați sau să dezactivați conectorul.

Pentru a șterge un conector din listă, apăsați butonul . de lângă acesta. Ca măsură de precauție, vi se va cere să confirmați ștergerea.

Lucrul cu caracteristica stării sursei de date

Pentru a verifica toate stările de colectare a datelor din toate sursele care expediază evenimente la CyberQuest sau pe cele ale surselor colectate de CyberQuest, acest instrument oferă un ecran de stare dedicat.

În interfața web, selectați Setări > Stare sursă de date. Se deschide pagina Stare sursă de date, care include toate sursele de date colectate de CyberQuest.

Starea de colectare este afișată cu coduri de culoare, pentru fiecare sursă de date. Stările disponibile sunt:

  • Dezactivat

  • În curs de colectare

  • Oprit sau eroare critică

  • Se așteaptă următoarea colectare

Prezența unei pictograme . înseamnă că respectiva colectare este programată pentru execuție la intervale definite de timp, în timp de altele sunt executate în timp real.

Puteți sorta lista în funcție de oricare dintre coloane, în orice moment sau puteți exporta lista, apăsând pe butonul ..

.

Aici este important de reținut faptul că din cauza numărului mare de colectări de date pe care CyberQuest le poate suporta, lista stărilor de colectare poate crește foarte mult. Pentru evita problemele de performanță de pe această pagină de stare, împrospătarea automată este dezactivată implicit. Pentru activa împrospătarea automată a paginii și reîncărcarea tuturor stărilor, verificați bifa . din partea de sus a paginii.

Puteți alege să afișați până la 100 de înregistrări pe fiecare pagină de stare. Vă rugăm să rețineți că nu trebuie să combinați un număr mare de entități cu împrospătare automată a paginii, pentru a evita scăderea performanței.

.

Meniul de personalizare a coloanelor tabelului din partea stângă a paginii, vă permite să selectați coloanele afișate pentru toate înregistrările din listă. Acestea sunt descrise în tabelul de mai jos:

Câmp Descriere
Denumire computer Denumire sursă (adresa IP a rețelei sau FQDN soluționat)
Denumire jurnal Denumirea sursei jurnalului
Tip Tip de jurnal
Mesaje Număr de evenimente colectate
Ultima oră recepționată Ultima oră curentă la care datele au fost recepționate de sursă
Ultima oră locală Ultima oră dispozitivului la care datele au fost recepționate de sursă
Ultima oră actualizată Ultima oră la care s-a făcut o modificare pentru sursa de date
Ultimul mesaj Ultimul mesaj din colectorul de date
Ultima eroare Ultimul mesaj de eroare din colectorul de date
Colectarea următoare Data și ora la care va începe următoarea colectare
Producător Modulul sau agentul care a colectat evenimentele
Durată de funcționare producător Durata de funcționare a modulului sau a agentului care a colectat evenimentele
Date suplimentare Comentarii
Alertă interval minute Intervalul de timp pentru verificarea stării sursei

Gestionarea serviciilor de transformare a datelor

Introducerea în DTS

Serviciile de transformare a datelor sau DTS, reprezintă un set de obiecte și utilități care automatizează operațiunile de extragere, transformare și încărcare în și dintr-o bază de date. DTS include obiecte sub formă de pachete și componentele aferente, care pot fi accesate de către un administrator cu utilități denumite instrumente DTS.

DTS permite transformarea și încărcarea datelor din surse eterogene, folosind fișiere OLE DB, ODBC sau fișiere numai de text, în orice bază de date suportată. DTS permite de asemenea automatizarea importului de date sau transformarea datelor, în baza unei planificări.

Serviciile CyberQuest de transformare a datelor reprezintă o componentă generală de date cu scopuri multiple, folosite în tratarea și manipularea datelor evenimentelor. Datele din jurnalul de evenimente pot fi analizate, corelate, îmbogățite, calculate și tratate conform cerințelor unor criterii specifice sau foarte personalizate. DTS se încadrează între Serviciile de achiziționare a datelor (DAS) și Serviciul de detectare a anomaliilor (ADS), în timp ce datele sunt partajate între alte servicii. Pentru aceste sarcini, DTS folosește un motor încorporat JavaScript, pe care un administrator îl poate utiliza pentru implicarea logicii gata de utilizare sau crearea unei logici personalizate pentru executarea diverselor acțiuni.

DTS are rolul principal de executare a transformărilor suplimentare pentru datele extrase din evenimentele colectate. Utilizatorul nu este limitat sub nicio formă la ceea ce folosește sau creează procesarea logică. Utilizarea tipică implică extragerea informațiilor utile din câmpuri multiple, în funcție de mai mulți factori, atunci când evenimentul sursă nu împarte informațiile utile în câmpuri separate. Atunci când scrieți scriptul personalizat, rețineți că puteți introduce un singur eveniment în analizator și puteți genera unele multiple.

CyberQuest folosește serviciile de transformare a datelor pentru a configura următoarele reguli și analizatoare:

  • Analizatoare JS

  • Reguli de filtrare

  • Reguli DA

De asemenea, serviciile DTS stochează în memorie liste de obiecte care pot fi utilizate de utilizator, pentru a face lucruri specifice. De exemplu, lista Utilizator conectat de la ADRESĂ IP specificată, poate fi accesată folosind următorul script:

if(this.inputEvent.UserName == 'undefined'){
    this.inputEvent.UserName = AD-whoisLoggedOn(this.inputEvent.SrcIP);
}

// RealName (mapped by usernames and applications):

if(this.inputEvent.RealName == 'undefined'){
    this.inputEvent.Realname = RealName(this.inputEvent.UserName);
}

// NameLookups (by IP address):

if(this.inputEvent.SrcHost == 'undefined'){
    this.inputEvent.SrcHost = NameLookup(this.inputEvent.SrcIP);
}

// Generic Lists:

if(this.inputEvent.EventType == 'undefined'){
    this.inputEvent.EventType = genericListLookup('list_name', this.inputEvent.PropertName);
}

Puteți crea propriile liste personalizate cu obiecte dinamice care sunt partajate între toate componentele. Puteți de asemenea să populați informațiile din aceste liste direct din DTS, folosind „listRegister". Pentru a face acest lucru, folosiți metoda de mai jos:

if(this.inputEvent.EventType == '16'){ // 16 means Failed Audit event
    listRegister('hosts_with_failed_audit', this.inputEvent.Computer);
}

Definiția pentru listRegister este: - Void listRegister(String listName, String Value)

Analizatoarele JS

„Parsing-ul" sau analiza sintactică este procesul de analiză a unui șir de simboluri, fie în limba obișnuită fie în limbaj de programare, în funcție de regulile de gramatică formale. Sarcina analizatorului este esențială pentru a determina dacă și cum poate fi derivată o introducere din simbolul gramatical de începere.

Analizatorul JS este un obiect Javascript care folosește jurnale de evenimente și sortează inteligent datele, făcând informațiile rezultate mai ușor de interpretat pentru un utilizator. Analiza este executată prin apelarea obj.exec cu evenimentul ca parametru în format JSON.

Analizatoarele JS pot fi accesate din interfața web, navigând în Setări > Reguli > Obiecte DTS. Se deschide pagina Obiecte DTS, care include obiectele definite. Aici puteți edita, șterge sau exporta un analizator și puteți marca analizatoarele ca fiind active sau inactive. Meniul Acțiuni include opțiuni pentru importarea unui obiect sau crearea unui obiect DTS nou de la zero.

.

Pentru a exporta un analizator, apăsați pe butonul . de lângă el. Exportul este memorat ca fișier CQO proprietar. De asemenea, pentru a importa un analizator, selectați . în meniul Acțiuni.

Pentru a edita detaliile unui obiect specific, apăsați pe butonul ., de lângă acesta. Se deschide pagina Editare obiecte DTS, care vă permite modificarea Numelui și a Descrierii, corectarea scriptului sau activarea/dezactivarea obiectului.

Pentru a șterge un analizator din listă, apăsați butonul . de lângă acesta. Ca măsură de precauție, vi se va cere să confirmați ștergerea.

Crearea unui nou analizator JS

În pagina Obiecte DTS, selectați . din meniul Acțiuni. Se deschide pagina de configurare Adăugare obiect DTS, permițându-vă să creați scriptul pentru un nou analizator și marcarea acestuia ca activ sau inactiv. După finalizarea creării unui analizator nou, apăsați pe butonul . pentru a memora modificările.

.

Iată un exemplu de analizator JS:

// Analiza este executata prin apelarea obj.exec cu un eveniment ca parametru in format JSON

// Evenimentul de intrare este expediat de SQ Service; se asteapta ca iesirea sa fie o matrice de evenimente (this.outputEvents)

// Iesirea ar trebui sa fie o matrice de evenimente in format JSON. Retineti sa apelati SON.stringify pentru this.outputEvents

var obj = {
    outputEvents:[],
    Exec:function(Event){
        this.inputEvent = JSON.parse(Event);
    }
    // event parsing & outputEvent population here
    // to modify a property use: this.inputEvent.PropertyName
    // Ex: this.inputEvent.UserName = null;
    // Ex: this.inputEvent.EventID = null;
    // Ex: this.inputEvent.Source = 'Logon';

    description = this.inputEvent.Description;
    this.inputEvent.EventID = "1300001";
    for(var field in this.InputEvent){
        if(this.inputEvent[field].indexOf('requestURL') > -1){
            var copyOfField = this.inputEvent[field];
            second_regex = /(?;=)([a-zA-Z0-9_\-.]*)/;
            var temp = copyOfField.split("=");
            this.inputEvent.S50 = temp[1];
            var returnval = second_regex.exec(copyOfField);
            if(returnval != null){
                this.inputEvent.S49 = returnval[1];
            }
        }
        this.outputEvents.push(this.inputEvent);
        return JSON.stringify(this.outputEvents);
    }
};

Reguli de filtrare

CyberQuest folosește un mecanism inteligent de filtrare a evenimentelor pentru expedierea datelor la analizatoarele JS. Puteți instrui DTS în ceea ce privește modul de filtrare a evenimentelor expediate la analizatoare, prin crearea regulilor de filtrare.

Regulile de filtrare pot fi gestionate prin navigarea către Setări > Reguli > Reguli de filtrare. Se deschide pagina Reguli de filtrare, permițând definirea regulilor în baza operatorilor ca "eq", "noteq", "isInList", "isNotInList", "startsWith", "endsWith", "intInterval". Nu există practic nicio limită în ceea ce privește adăugarea câmpurilor suplimentare.

Puteți edita, șterge sau exporta o regulă și puteți marca regulile ca fiind active sau inactive. Meniul Acțiuni include opțiuni pentru importarea sau crearea unei noi reguli de filtrare, de la zero.

.

Pentru a exporta o regulă, apăsați pe butonul . de lângă el. Exportul este memorat ca fișier CQO proprietar. De asemenea, pentru a importa o regulă, selectați . în meniul Acțiuni.

Pentru a edita detaliile unei reguli specifice, apăsați pe butonul ., de lângă acesta. Se deschide pagina Editare regulă filtrare, care vă permite să schimbați Numele și Descrierea, precum și să adăugați, să corectați sau să ștergeți filtrele deja definite.

Pentru a șterge o regulă din listă, apăsați butonul . de lângă aceasta. Ca măsură de precauție, vi se va cere să confirmați ștergerea.

Crearea unei noi reguli de filtrare

În pagina Reguli de filtrare, selectați . din meniul Acțiuni. Se deschide pagina de configurare Adăugare regulă filtrare, care vă permite să creați o nouă regulă.

.

O regulă poate avea unul sau mai multe filtre definite:

  • În lista derulantă Câmp, selectați câmpul evenimentului pe care doriți să îl filtrați

  • În lista derulantă Operator, selectați unul dintre operatorii disponibili eq, noteq, isInList, isNotInList, startsWith, endsWith, intInterval

  • Introduceți Valoarea folosită pentru comparație

Ca setare implicită, noua regulă va fi cea activă. Apăsați pe comutatorul ., pentru a dezactiva regula.

Puteți apăsa pe . în orice moment, pentru a șterge un filtru.

După finalizarea creării regulii, apăsați pe butonul . pentru a memora modificările și pentru a reveni la lista de reguli.

Regulile de achiziție a datelor (reguli DA)

CyberQuest include un motor decizional, bazat pe reguli, care permite combinarea regulilor de filtrare cu analizatoarele JS, în scopul stabilirii unui flux granular de colectare a datelor. Ca atare, pentru un anumit flux de evenimente, veți putea aloca unul sau mai multe analizatoare la anumite reguli de filtrare specifice și astfel veți instrui platforma despre evenimentele colectate.

Regulile de achiziție a datelor pot fi accesate din interfața web, navigând în Setări > Reguli > Reguli DA. Se deschide pagina Reguli DA, care include regulile definite. Aici puteți edita, șterge sau exporta o regulă, puteți defini ordinea aplicării regulilor și puteți marca regulile ca fiind active sau inactive. Meniul Acțiuni include opțiuni pentru importarea sau crearea unei noi reguli de achiziție, de la zero.

.

Pentru a exporta o regulă, apăsați pe butonul . de lângă el. Exportul este memorat ca fișier CQO proprietar. De asemenea, pentru a importa o regulă, selectați . în meniul Acțiuni.

Pentru a edita detaliile unei reguli specifice, apăsați pe butonul ., de lângă acesta. Se deschide pagina Editare regulă DA, care vă permite să schimbați Numele și Descrierea, precum și să adăugați, să corectați sau să ștergeți filtrele deja definite.

Pentru a șterge o regulă din listă, apăsați butonul . de lângă aceasta. Ca măsură de precauție, vi se va cere să confirmați ștergerea.

Pentru a schimba ordinea în care se aplică regulile, acționați butonul .. Vă rugăm să rețineți că ultima regulă din listă se aplică ultima și de aceea, poate anula alte reguli de mai sus.

Crearea unei noi reguli DA

În pagina Reguli DA, selectați . din meniul Acțiuni. Se deschide pagina de configurare Adăugare regulă DA, care vă permite să creați o nouă regulă.

.

Atributele descrise mai jos sunt similare celor regăsite în pagina de configurare Editare reguli DA:

  • În câmpul Nume, introduceți un nume care să identifice noua regulă creată pentru achiziția de date. Acest nume va apărea în lista de Reguli DA.

  • În câmpul Descriere, introduceți descrierea explicativă a regulii.

  • Opțiunea ȘI reguli de filtrare permite utilizarea operatorilor ȘI, pentru a obține informații de la mai multe niveluri.

  • Opțiunea SAU reguli de filtrare permite utilizarea operatorilor SAU, pentru a obține informații de la mai multe niveluri.

  • Stocări de date vă permite selectarea stocării datelor pe termen lung

  • În lista derulantă Obiecte DTS, selectați obiectele DTS pentru care se aplică această regulă.

  • În câmpul Ordine, setați prioritatea de utilizare pentru noua regulă creată pentru achiziția de date.

După finalizarea creării unui analizator nou, apăsați pe butonul . pentru a memora modificările.

Gestionarea dicționarului de evenimente

Lucrul cu definițiile evenimentelor

Nextgen CyberQuest™ furnizează un dicționar complet de evenimente construit în jurul sistemelor de operare Windows. Dicționarul este în continuă expansiune și viitoarele versiuni ale platformei vor include dicționare de evenimente pentru toate tehnologiile majore suportate.

O listă cu toate evenimentele disponibile la momentul editării acestui document, se găsește în Anexa: Dicționar de evenimente.

Spre deosebire de celelalte soluții SIEM de pe piață, dicționarul CyberQuest este deschis, ceea ce înseamnă că puteți edita, exporta și șterge în orice moment definițiile existente ale evenimentelor sau puteți crea și importa unele noi -- construindu-vă propriul dicționar, care suportă tehnologiile gestionate de dvs.

Dicționarul de evenimente poate fi accesat din interfața web, navigând în Setări > Dicționar de evenimente. Se deschide pagina Definiții eveniment, care include obiectele definite. Aici puteți gestiona definițiile existente și din meniul Acțiuni, puteți importa un obiect sau crea o nouă definiție, de la zero.

.

Pentru a exporta o definiție, apăsați pe butonul . de lângă el. Exportul este memorat ca fișier CQO proprietar. De asemenea, pentru a importa o definiție, selectați . în meniul Acțiuni.

Pentru a edita detaliile unui obiect specific, apăsați pe butonul ., de lângă acesta. Se deschide pagina Editare definiție eveniment, care vă permite modificarea Numelui și a Descrierii, corectarea scriptului sau activarea/dezactivarea obiectului.

Pentru a vizualiza un eveniment, apăsați pe butonul . de lângă el. Se deschide pagina cu detaliile evenimentului. Veți observa că meniul Acțiuni se extinde, permițând editarea rapidă sau revenirea la lista de evenimente.

Pentru a șterge un eveniment din listă, apăsați butonul . de lângă acesta. Ca măsură de precauție, vi se va cere să confirmați ștergerea.

Crearea unei noi definiții a evenimentului

În pagina Definiții eveniment, selectați . din meniul Acțiuni. Se deschide pagina de configurare Definiție nouă eveniment, care vă permite să creați o definiție nouă.

.

Toate câmpurile sunt de text liber, ceea ce permite libertate totală pentru definirea unui eveniment nou. Șablonul include până la 150 de câmpuri personalizate de adăugat. Ca recomandare generală, se recomandă definirea unui standard la nivel de companie pentru emiterea ID-urilor de evenimente, a denumirilor și a platformelor de evenimente pentru toate aplicațiile vizate.

După finalizarea creării unui analizator nou, apăsați pe butonul . pentru a memora modificările.

Gestionarea sarcinilor

Lucrul cu sarcinile

Puteți crea și utiliza sarcini pentru a acționa asupra datelor analizate și stocate online sau în arhive. Deoarece volumele în cauză pot deveni foarte mari în timp și ca urmare a restricțiilor inerente de manipulare pentru datele în uz sau datele aflate în diverse stadii de evoluție, nu se recomandă copierea, mutarea sau ștergerea simplă a fișierelor stocate -- de cele mai multe ori, acest lucru fiind imposibil.

Mergeți la Setări > Sarcini > Sarcini. Se deschide pagina Sarcini, care vă permite să vizualizați lista cu sarcinile deja definite sau să creați una nouă. Veți observa că nu există sarcini predefinite.

.

Puteți crea oricâte sarcini doriți, ținând cont de solicitarea mediului soluției, necesară executării acestora. Sarcinile pot solicita foarte multe resurse de la procesorul, memoria, capacitatea de stocare a serverului și chiar și de la rețeaua dvs.

În lista sarcinilor deja predefinite, veți avea detalii cum ar fi tipul sarcinii, serverul pe care este executată și dacă este activă sau nu. Explicațiile acestor detalii se găsesc în secțiunea dedicată creării unei sarcini noi.

Pentru fiecare sarcină din listă, puteți alege să editați, să ștergeți sau să executați sarcina. Faceți clic pe . pentru a edita sarcina. Se deschide pagina Editare sarcină, cu opțiuni de configurare similare cu crearea unei sarcini noi. Executați modificările dorite și faceți clic pe Trimitere, pentru a memora și a închide pagina.

.

Faceți clic pe . pentru a executa o sarcină. Executările sarcinilor pot fi verificate în pagina Executări sarcini, descrisă în secțiunea de mai jos.

Pentru a șterge o sarcină din listă, apăsați butonul . de lângă aceasta. Ca măsură de precauție, vi se va cere să confirmați ștergerea.

Gestionarea executării sarcinilor

Mergeți la Setări > Sarcini > Executări sarcini. Se deschide pagina Executări sarcini, care vă permite să vizualizați istoricul sarcinilor executate, rezultatul acestora și sumarul celor care se află în curs de executare.

.

Ștergerea executării din această listă produce efecte numai dacă sarcina nu a fost încă finalizată. Ca regulă generală, se recomandă așteptarea finalizarea unei execuții, înainte de a șterge.

Crearea unei sarcini noi

Reveniți la Setări > Sarcini > Sarcini. În pagina Sarcini, selectați . din meniul Acțiuni. Se deschide pagina de configurare Adăugare sarcină, care vă permite să creați o nouă sarcină.

.

Atributele descrise mai jos sunt similare celor regăsite în pagina de configurare Editare sarcină. Vă rugăm să rețineți că opțiunile disponibile se vor modifica în funcție de tipul de job selectat:

  • În câmpul Nume, introduceți un nume care să identifice sarcina nou creată. Acest nume va apărea în lista de Sarcini.

  • În câmpul Descriere, introduceți descrierea explicativă a sarcinii.

  • Lista derulantă Tipuri de sarcini vă permite să alegeți între:

  • Sarcină importantă -- importarea evenimentelor dintr-un depozit sursă, într-un depozit online sau într-o arhivă. Sarcinile importante sunt foarte utile pentru operațiunile de consolidare sau atunci când se scot din funcțiune depozitele perimate.

  • Ștergere sarcină -- pentru ștergerea evenimentelor dintr-un depozit. Ștergerile pot fi necesare pentru a elibera spațiul utilizat de evenimentele din aplicații perimate sau ca rezultat al unei importări.

  • Copiere sarcină -- vă permite copierea datelor dintr-un depozit de date în altul. Această operațiune este posibilă între depozitele offline și permite duplicarea datelor.

  • Dreptul de a fi uitat -- este un tip special de sarcină, care permite ștergerea granulară a datelor cu caracter personal, în funcție de filtre. Aceste sarcini au fost introduse pentru conformitatea cu regulamentele privind protecția datelor.

  • Stocare date este întotdeauna sursa de stocare a datelor, indiferent de tipul de sarcină selectat.

  • Opțiunea Unde se importă pentru importarea sarcinilor, poate include un depozit online sau offline, unde are loc importarea.

  • La stocare date pentru copierea sarcinilor, reprezintă stocarea țintă a datelor, unde acestea sunt duplicate din sursă

  • Lista derulantă Tip spec. perioadă vă permite să optați dacă sarcina va acționa asupra datelor în baza unui interval de timp selectat sau în baza celui mai recent număr de unități, unde o unitate poate fi secunda, minutul, ora, ziua, luna sau anul.

  • Data începerii și Data finalizării vă permit definirea intervalului de timp în care se va desfășura executarea sarcinii.

După finalizarea creării unei sarcini noi, apăsați pe butonul . pentru a memora modificările.

Gestionarea aplicațiilor rețelei

Lucrul cu aplicațiile rețelei

Acestea pot fi gestionate din interfața web, navigând în Setări > Aplicații rețea. Se deschide pagina Aplicații rețea, cu lista obiectelor definite. Posibilele acțiuni sunt editarea, ștergerea căutării sau puteți crea un obiect nou din meniul Acțiuni.

.

Pentru a edita detaliile unui obiect specific, apăsați pe butonul ., de lângă acesta. Se deschide pagina Editare definiție eveniment, care vă permite modificarea Numelui și a Descrierii, corectarea scriptului sau activarea/dezactivarea obiectului.

Pentru a șterge un obiect din listă, apăsați butonul . de lângă acesta. Ca măsură de precauție, vi se va cere să confirmați ștergerea.

Crearea unei noi aplicații de rețea

În pagina Aplicații rețea, selectați . din meniul Acțiuni. Se deschide pagina de configurare Adăugare aplicație rețea, permițându-vă să creați scriptul pentru un nou analizator și marcarea acestuia ca activ sau inactiv. După finalizarea creării unui analizator nou, apăsați pe butonul . pentru a memora modificările.

Gestionarea tablourilor de bord, a filtrelor și a obiectelor

Gestionarea tablourilor de bord

Pagina Tablouri de bord vă permite să configurați granular aspectul și comportamentul tablourilor de bord, în modulul Tablouri de bord. Pentru accesarea paginii, mergeți la Setări > Management > Tablouri de bord. Toate obiectele din instanța CyberQuest sunt incluse aici.

.

Aici nu se pot crea tablouri de bord noi. Acestea pot fi importate din fișierele CQO exportate dintr-o altă instanță. Odată importate, acestea pot fi editate apăsând ..

.

Se deschide fereastra Configurație tablou de bord persistent. Puteți seta filtrul de date aplicat pentru tabloul de bord editat; Ghidul utilizatorului CQ explică în detaliu modul în care sunt structurate filtrele de date. Va trebui să specificați și câmpul pentru care se va aplica filtrul, tipul de agregare și tipul graficii.

Apăsați pe Salvare modificări, pentru a memora modificările și pentru a închide fereastra sau pe Închidere, pentru a închide fereastra fără să salvați.

Gestionarea filtrelor

Pagina Filtre vă permite modificarea filtrelor predefinite sau crearea unora noi. Pentru accesarea paginii, mergeți la Setări > Management > Filtre.

.

Pentru editarea unui filtru existent sau crearea unuia nou, apăsați . sau selectați . din meniul Acțiuni. Se deschide pagina de configurare Adăugare/editare filtru.

.

Toate filtrele predefinite includ interogări structurate în funcție de standardele de conformitate. Editarea acestora implică de regulă cunoștințe avansate în materie de structurare a interogărilor. Ca recomandare generală, este de preferat să creați un filtru nou ținând cont întotdeauna de unul existent și testarea acestuia înainte de a-l introduce în producție.

După finalizarea creării sau editării filtrului, apăsați pe butonul . pentru a memora modificările.

Gestionarea obiectelor

Pagina Gestionare obiecte vă permite modificarea obiectelor predefinite sau crearea unora noi. Pentru accesarea paginii, mergeți la Setări > Management > Obiecte.

.

Orice poate reprezenta un obiect: utilizatori, computere, adrese IP, o gamă de adrese IP, echipamente de rețea, etc. Cele mai multe obiecte sunt create automat -- de exemplu, la conectarea cu un cont nou de domeniu Windows, se creează și obiectul corespunzător.

Obiectele noi pot fi create și manual sau prin importarea dintr-un fișier CVS. Odată adăugate în sistem, acestea pot fi editate apăsând .. Lista atributelor editabile este limitată (nume, valoare, lista obiectelor corespondente). Deoarece rolul acestora în platformă este să asigure consecvența necesară de afișare în liste, înlesnind sarcina administratorului de identificare corectă a țintei investigației sale, nu există configurații avansate care trebuie explicate în acest Ghid al administratorului.

Setările aplicației

Prezentare generală a setărilor aplicației

Interfața web CyberQuest include secțiunea administrativă necesară configurării vizuale a sistemului dvs. de audit. Acest lucru se face din Setări > Setările aplicației. Administratorului i se va prezenta o secțiune distinctă, care include toate componentele configurabile, unele dintre ele deja detaliate în capitolele anterioare.

.

Personalizarea interfeței web

Selectați opțiunea Personalizare pentru accesarea paginii de personalizare a instanței. Puteți modifica următoarele opțiuni:

  • Clauza de limitare a responsabilității pentru e-mailul companiei

  • Logo-ul companiei

  • Serverul de raportare extern

  • Serverul de licență (serverul local, ca setare implicită)

  • Numărul de încercări de conectare înainte de blocarea contului utilizatorului

  • Mesajul de bun-venit afișat la conectare

  • Trimitere la link extern

    .

Ajustarea mediului dvs. CyberQuest

Selectați opțiunea Administrare pentru accesarea paginii de administrare. Aici puteți schimba toate înregistrările explicate în secțiunile dedicate fișierelor de configurare CyberQuest.

.

Ajustarea setărilor de achiziție a datelor

Selectați opțiunea Achiziție date, pentru a modifica setările de achiziție a datelor. Aici puteți modifica toate înregistrările care au legătură cu achiziția datelor.

.

Ajustarea setărilor de corelare a datelor

Selectați opțiunea Corelare date, pentru a modifica setările de corelare a datelor. Aici puteți modifica toate înregistrările care au legătură cu corelarea datelor.

.

Ajustarea setărilor serverului de date

Selectați opțiunea Server date, pentru a modifica setările serviciului de server al datelor. Aici puteți modifica toate înregistrările care au legătură cu serverul datelor.

.

Ajustarea setărilor de stocare a datelor

Selectați opțiunea Stocare date, pentru a modifica setările de stocare a datelor. Aici puteți modifica toate înregistrările care au legătură cu stocarea datelor.

.

Definirea stocării datelor

Navigați la Setări > Stocare date. În acest tabulator, puteți folosi opțiunile de mai jos pentru gestionarea modulului:

  • Creare stocare nouă date

  • Editare stocare date existentă

  • Ștergere stocare date existentă

  • Selectare locație implicită de stocare date

.

Pentru a crea o stocare nouă de date, selectați . din meniul Acțiuni. Se deschide pagina de configurare Stocare nouă date. Completați calea, serverul, modificați starea selectând opțiunea „Activ" și salvați făcând clic pe Trimitere.

Pentru a folosi o stocare specifică a datelor ca setare implicită, din pagina Stocare date, faceți clic pe bifa de lângă opțiunea dorită. Starea "IsDefault" se va modifica în \"Da\".

Ajustarea setărilor ElasticSearch

Selectați opțiunea ElasticSearch, pentru a modifica setările NoSQL. Aici puteți modifica toate înregistrările care au legătură cu nodurile și motorul ElasticSearch.

.

Ajustarea setărilor e-mail-ului

Selectați opțiunea E-mail, pentru a modifica setările e-mail-ului. Aici puteți modifica toate înregistrările care au legătură cu expedierea și primirea de e-mail-uri.

.

Ajustarea setărilor de exportare a rapoartelor

Selectați opțiunea Exportare raport, pentru a modifica setarea de export pentru rapoartele dvs. Aici puteți modifica toate înregistrările care au legătură cu exportarea rapoartelor.

.

Ajustarea perioadei de retenție

Selectați Perioadă retenție pentru a schimba perioada de retenție a datelor stocate. Aici puteți modifica toate înregistrările care au legătură cu retenția.

.

Gestionarea agentului de colectare Windows

Gestionarea fișierelor de configurare a colectării jurnalului CyberQuest

Pentru configurarea corespunzătoare a Agentului de colectare a jurnalului CyberQuest, în scopul selectării tipurilor de jurnal, de computere de la care se vor colecta jurnalele și a locației de expediere a jurnalelor colectate, trebuie să editați următoarele fișiere:

  • Agent.exe.config (locația implicită este: C:\Program Files (x86)\CyberQuest LogAgent)

  • Collections.xml (locația implicită este: C:\Program Files (x86)\CyberQuest LogAgent)

Aceste fișiere sunt configurate inițial la prima implementare a agentului. Cu toate acestea, modificările din mediul auditat pot impune ajustări periodice.

Vă rugăm să rețineți că pentru a modifica cu succes înregistrările din fișierele de configurare, funcționarea agentului trebuie să fie oprită:

a. Folosind un cont administrativ, autentificați-vă în computerul care colectează jurnalul Windows, care are agentul instalat și deschideți consola de administrare Servicii.

b. Opriți funcționarea agentului de colectare a jurnalului CyberQuest.

c. După finalizarea modificărilor, porniți din nou agentul de colectare a jurnalului CyberQuest.

Modificarea setărilor de rețea pentru server și agent

Modificarea adresei rețelei serverului CyberQuest

Folosind un editor de text, mergeți la locul instalării agentului și deschideți fișierul agent.exe.config. Localizați secțiunea \<appSettings> și editați următoarele înregistrări:

<add key="server" value="XXX.XXX.XXX.XXX" />

<add key="mqHost" value="XXX.XXX.XXX.XXX" />

<!-- XXX.XXX.XXX.XXX is CyberQuest server IP address -->

Modificarea adresei de rețea a computerului agentului de jurnal

Folosind un editor de text, mergeți la locul instalării agentului și deschideți fișierul collections.xml. Localizați secțiunile de auditare de la distanță a computerelor și editați înregistrările:

<!-- Exchange 2016 EXCH2016.domain.com -->

<CollectComputer computer="XXX.XXX.XXX.XXX"> <!-- LogAgent FQDN or IP Address -->

Configurarea colectării datelor de către agent

Agentul de colectare a jurnalului CyberQuest poate colecta jurnalele standard de evenimente Windows din dispozitivul pe care a fost instalat sau de pe orice computer din rețea.

Configurarea agentului pentru colectarea jurnalelor locale

Pentru colectarea locală a oricăror jurnale standard de evenimente Windows, editați fișierul collections.xml și localizați secțiunea \<configuration>\<settings>\<CollectComputer de la începutul fișierului.

Înregistrarea de mai jos definește colectarea evenimentelor locale:

<CollectComputer computer="XXX.XXX.XXX.XXX"> <!-- LogAgent FQDN or IP Address -->

Înregistrările de tipul \<log name=\" \"> adaugă o interogare WMI pentru unul dintre cele trei jurnale de evenimente standard pe un computer cu sistem de operare Windows: Jurnalul aplicațiilor, jurnalul de securitate și jurnalul evenimentelor din sistem.

Se pot adăuga înregistrări suplimentare, care corespund fișierelor de jurnal încărcate în sistem. Dacă aveți îndoieli asupra jurnalelor în format standard Windows, care sunt prezente în sistemul auditat, deschideți Vizualizatorul de evenimente și notați calea jurnalului în proprietățile oricăror denumiri ale jurnalelor incluse în Jurnalele Windows sau în Jurnalele aplicațiilor și serviciilor.

. .

Iată o mostră de audit activat local pentru un fișier și un server de imprimare:

<?xml version="1.0" encoding="utf-8" ?>
<configuration>
    <settings>
        <CollectComputer computer="XXX.XXX.XXX.XXX">
            <!-- LogAgent FQDN or IP Address -->
            <log name="Security">
                <!-- Event Full Name -->
                <add name="collectionMethod" value="wmi" />
                <add name="logType" value="WindowsStandard" />
            </log>
            <log name="Application">
                    <!-- Event Full Name -->
                    <add name="collectionMethod" value="wmi" />
                    <add name="logType" value="WindowsStandard" />
            </log>
            <log name="System">
                <!-- Event Full Name -->
                <add name="collectionMethod" value="wmi" />
                <add name="logType" value="WindowsStandard" />
            </log>
            <log name="NextgenSoftware File Access Audit">
                <!-- Event Full Name -->
                <add name="collectionMethod" value="wmi" />
                <add name="logType" value="WindowsStandard" />
            </log>
            <log name="Microsoft-Windows-PrintService/Operational">
                <!-- Event Full Name -->
                <add name="collectionMethod" value="wmilight" />
                <add name="logType" value="WindowsStandard" />
            </log>
        </CollectComputer>
    </settings>
</configuration>

Configurarea agentului pentru colectarea jurnalelor computerelor de la distanță

Pentru colectarea de la distanță a oricăror jurnale standard de evenimente Windows, editați fișierul collections.xml și localizați secțiunea\<configuration>\<settings>\<CollectComputer de la începutul fișierului.

Înregistrarea de mai jos definește colectarea evenimentelor locale:

<CollectComputer computer="XXX.XXX.XXX.XXX" > <!-- LogAgent FQDN or IP Address -->

Câmpul computerului poate fi asociat fie cu FQDN, fie cu o adresă IP de rețea, pentru dispozitivul dorit din rețeaua locală. Pentru fiecare dintre aceste computere, trebuie să adăugați o altă înregistrare \<CollectComputer computer=\" \" > și cel puțin un \<log name=\" \"> valid, în fișierul collections.xml.

Pentru fiecare computer suplimentar și fiecare înregistrare a denumirii jurnalului, trebuie să adăugați o altă etichetă:

<add name="templateFile" value="wmiEventsWithDomain" />

Același fișier șablon poate fi utilizat pentru mai multe computere, cu condiția ca acreditările să fie identice pentru toate dispozitivele colectate.

Editați șablonul wmiEventsWithDomain.xml, sau creați un nou fișier XML -- pentru instalările implicite, fișierul se află in C:\Program Files (x86)\CyberQuest LogAgent\Templates).

Introduceți numele utilizatorului și parola criptată a unui cont administrativ, care poate accesa și citi fișierele sistemelor de la distanță. Contul poate fi un utilizator local sau de domeniu; vă rugăm să rețineți că pentru a audita de la distanță controlerele de domeniu, trebuie să introduceți un membru utilizator al grupului de administratori ai domeniului.

<?xml version="1.0" encoding="utf-8" ?>
<configuration>
    <settings>
        <add name="USERNAME" value="user" /> <!-- Local User name -->
        <add name="PASSWORD" value="VB6wZQ==" /> <!-- Local User encoded Password -->
        <add name="QUERY_INTERVAL" value="20" />
    </settings>
</configuration>

Fișierul collections.xml rezultat ar trebui să arate ca în exemplul de mai jos:

<?xml version="1.0" encoding="utf-8" ?>
<configuration>
    <settings>
        <!-- Exchange 2016 EXCH2016.domain.com -->
        <CollectComputer computer="192.168.1.150">
                <log name="Security">
                        <add name="collectionMethod" value="wmi" />
                        <add name="logType" value="WindowsStandard" />
                        <add name="templateFile" value="wmiEventsWithDomainNEXT" />
                </log>
                <log name="Application">
                        <add name="collectionMethod" value="wmi" />
                        <add name="logType" value="WindowsStandard" />
                        <add name="templateFile" value="wmiEventsWithDomainNEXT" />
                </log>
                <log name="System">
                        <add name="collectionMethod" value="wmi" />
                        <add name="logType" value="WindowsStandard" />
                        <add name="templateFile" value="wmiEventsWithDomainNEXT" />
                </log>
        </CollectComputer>
    </settings>
</configuration>

Codificarea parolei utilizatorului pentru colectarea jurnalului de la distanță

Procedura de mai jos va fi utilizată pentru codificarea parolei de cont pentru conexiunile de la distanță:

  1. Folosind un cont administrativ, autentificați-vă în computerul care colectează jurnalul Windows, care are agentul instalat și deschideți un prompt de comandă administrativă. Apoi, navigați la calea de instalare a agentului (ca setare implicită C:\Program Files (x86)\CyberQuest LogAgent) și executați comanda:

C:\Program Files (x86)\CyberQuest LogAgent>Agent.exe -encodepassword xxxxxxx

            Rezultatul este:

            Hashed password: VB6wZQ==

            .

  1. Copiați parola hash și folosiți-o pentru editarea fișierului collections.xml.

  2. Deschideți editorul registrului cu privilegii de administrare și răsfoiți la HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System

  3. Adăugați sau modificați înregistrarea DWORD LocalAccountTokenFilterPolicy și introduceți valoarea "1". Faceți clic pe OK și ieșiți din editorul registrului.

            .

  1. Deschideți Consola de administrare a serviciilor și verificați instrumentația de management a Windows și serviciile Registrului de la distanță, ce trebuie setate la pornirea automată și inițializate.

  2. Verificați accesul la rețea între computerul agentului și computerul auditat de la distanță.

  3. Reporniți agentul de colectare a jurnalului CyberQuest.

Personalizarea fișierelor de configurare

Stocarea datelor

Permite configurarea avansată a stocării datelor folosite de CyberQuest. Pentru a edita Stocarea datelor, deschideți fișierul /var/opt/cyberquest/datastorage/conf.xml pe serverul CyberQuest.

Puteți găsi toate variabilele configurabile în tabelul de mai jos:

Parametri Descriere
maxEventsPerFile Specifică numărul maxim de evenimente permise pentru fiecare fișier stocat
fileWriterTimeout Specifică intervalul de pauză pentru scriitorul evenimentului
mqUserName Specifică numele de utilizator administrativ pentru acces la serviciul MQ
mqPassword Specifică parola utilizatorului pentru serviciul MQ
mqHost Specifică serverul serviciului MQ. În arhitecturile distribuite, poate fi diferit de serverul implicit al CyberQuest.
mqVhost Specifică serverul virtual al serviciului MQ. În arhitecturile distribuite, poate fi diferit de serverul implicit al CyberQuest.
mqPort Specifică portul de comunicare în rețea folosit de serviciul MQ.
mqExchangeName Specifică numele de schimb folosit de serviciul MQ.
mqQueueName Specifică denumirea cozii MQ
mqReceiveQueueType Specifică tipul de coadă MQ Receive
mqRouting Specifică o cale de rutare pentru cozile de mesaje
mqReceiveCommandExchangeName Specifică numele de schimb al comenzii MQ Receive
mqReceiveCommandQueueName Specifică numele șirului de comenzi ale MQ Receive
mqReceiveCommandQueueType Specifică tipul șirului de comenzi ale MQ Receive
mqReceiveCommandRouting Specifică o cale de rutare a comenzii MQ Receive
mqSendExchangeName Specifică numele de schimb al MQ Send
mqSendQueueName Specifică numele șirului MQ Send
mqSendRouting Specifică o cale de rutare a MQ Send
mqSendQueueType Specifică tipul șirului MQ Send
serverGuid Specifică GUID unic al serverului
encryptionPublicKeyFilePath Specifică o cale a fișierului pentru cheia publică definită
encryptionPrivateKeyFilePath Specifică o cale a fișierului pentru cheia privată definită
dbDriver Specifică driver-ul bazei de date folosit pentru procesarea SQL
dbUserName Specifică numele de utilizator administrativ utilizat pentru accesarea bazei de date
dbPass Specifică parola utilizatorului, folosită pentru accesarea bazei de date
dbUrl Specifică URL-ul de acces la baza de date

Achiziția datelor

Permite configurarea avansată a Serviciul CyberQuest de achiziționare a datelor. Pentru a edita Achiziția datelor, deschideți fișierul /var/opt/cyberquest/dataacquisition/conf/config.ini pe serverul CyberQuest.

Puteți găsi toate variabilele configurabile în tabelul de mai jos:

Parametri Descriere
CommandPort Specifică portul de rețea folosit de adresa serverului, unde sunt expediate comenzile analizatorului.
AnalyzerPort Specifică portul de rețea folosit de adresa serverului, unde este expediată informația de instruire a analizatorului
AnalyzerAddress Specifică adresa rețelei serverului unde sunt expediate evenimentele analizatorului
Config_DB_HOST Specifică serverul gazdă pentru baza de date internă MySQL
Config_DB_USER Specifică numele utilizatorului administrativ pentru accesarea bazei de date MySQL
Config_DB_PASSWORD Specifică parola utilizatorului pentru baza de date internă MySQL
Config_DB_DB Specifică baza de date internă folosită de server
EL_Url Specifică URL-ul motorului ElasticSearch
EL_Port Specifică portul de acces al motorului ElasticSearch
FIFO_size Specifică dimensiunea maximă pentru lista de colectare internă
BUFFER_size Specifică numărul de evenimente expediate într-o singură rafală la coada FIFO
HTTP_SERVER_PORT Numai pentru uz intern. Portul implicit al rețelei este 8082.
UDP_SERVER_PORT Specifică portul UDP folosit de serverul gazdă DAS
SYSLOG_UDP_SERVER_PORT Specifică portul de rețea folosit pentru transmiterea datelor syslog, folosind protocolul UDP
LIC_PATH Specifică o cale a fișierului de licență pe server
CLEANUP_CRON Specifică frecvența de curățare pe perioada de retenție
ARCSIGHT_UDP_SERVER_PORT Specifică portul de rețea folosit pentru transmiterea datelor CEF, folosind protocolul UDP
no_of_threads Specifică numărul maxim de thread-uri. Acest câmp se completează automat.
debug_level Modifică nivelul de detaliere. Nivelul implicit este 2.
RMQ_host Specifică serverul cozii de mesaje. În arhitecturile distribuite, poate fi diferit de serverul implicit al bazei de date
RMQ_username Specifică numele de utilizator administrativ pentru serviciile de așezare în coadă.
RMQ_password Specifică parola utilizatorului pentru serviciile de așezare în coadă.
RMQ_queue Specifică numele cozii de mesaje pentru serviciile de așezare în coadă.
maxmindb_path Specifică o cale a serverului pentru baza de date "maxmin".
run_collection_servers Indică marcajul adevărat/fals pentru implementările de tip cluster

Rapoarte

Controlează acreditivele de acces ale motorului PHP la baza de date internă, în scopul raportării. Pentru a modifica aceste acreditive, deschideți fișierul /var/opt/cyberquest/reports/config.php pe serverul CyberQuest.

Parametri Descriere
\$GLOBALS['dbuser'] Specifică numele utilizatorului pentru accesarea bazei de date interne
\$GLOBALS['dbpasswd'] Specifică parola utilizatorului pentru accesarea bazei de date interne

Agentul de rețea

Permite configurarea avansată a agentului de rețea CyberQuest. Pentru a modifica valorile implicite, deschideți fișierul /var/opt/cyberquest/networkagent/conf/config.ini pe serverul CyberQuest.

Puteți găsi toate variabilele configurabile în tabelul de mai jos:

Parametri Descriere
AgentGUID Specifică GUID unic al agentului
CompressMsg Specifică dacă agentul de rețea va folosi sau nu comprimarea pentru mesaje
DB_HOST Specifică serverul gazdă pentru baza de date internă MySQL
DB_NAME Specifică numele bazei de date interne
DB_PASSWORD Specifică parola utilizatorului pentru baza de date internă MySQL
DB_USER Specifică numele utilizatorului administrativ pentru accesarea bazei de date MySQL
DebugLevel Modifică nivelul de detaliere. Nivelul implicit este 2.
EncryptMsg Specifică dacă agentul de rețea va folosi sau nu criptarea pentru mesaje
LocalCachePath Specifică o cale a fișierului folosită pentru stocarea datelor, în cazul erorii de comunicare
RMQueueAddress Specifică adresa rețelei pentru serverul cozii de mesaje. În arhitecturile distribuite, poate fi diferit de serverul implicit al bazei de date
RMQueueName Specifică numele cozii de mesaje pentru serviciile de așezare în coadă.
RMQueuePassword Specifică parola utilizatorului pentru serviciile de așezare în coadă.
RMQueuePort Specifică portul de comunicare în rețea pentru serverul cozii de mesaje
RMQueueUserName Specifică numele de utilizator administrativ pentru serviciile de așezare în coadă.
UDP_Listen_IP Adresa de rețea pe care serverul ascultă pentru pachete netflow UDP. Se configurează automat la inițializarea serviciului
UDP_Listen_port Specifică portul de comunicare în rețea, setat pentru ascultarea pachetelor netflow UDP

Gestionarea depozitelor

ElasticSearch este conceput pentru disponibilitate permanentă și în funcție de necesitățile dvs. Scalarea poate proveni din implementarea unor servere mai performante, în special în ceea ce privește considerentele CPU și de memorie (scalare verticală sau scalare ascendentă) sau din implementarea mai multor servere (scalare orizontală). În timp ce ElasticSearch poate beneficia de hardware mai puternic, scalarea pe verticală are limitele sale. Scalabilitatea reală provine din scalarea pe orizontală -- capacitatea de a adăuga mai multe noduri în cluster și de a distribui sarcina și fiabilitatea între acestea.

La cele mai multe baze de date, scalarea orizontală necesită de regulă o revizie majoră a aplicației, pentru a beneficia de aceste suplimentări. În schimb, ElasticSearch este distribuit natural: știe cum să gestioneze modurile multiple, pentru a asigura scalarea și disponibilitatea ridicată. Acest lucru înseamnă că utilizatorii aplicației dvs. nu trebuie să se preocupe în acest sens. Un nod este o instanță de execuție a ElasticSearch, în timp ce un cluster include unul sau mai multe noduri din aceleași cluster.name, care lucrează împreună, pentru a-și împărți datele și sarcina de lucru între ele. Pe măsură ce nodurile sunt adăugate sau eliminate din cluster, acesta din urmă se reorganizează pentru distribuirea uniformă a datelor.

Avantajele cluster-elor ElasticSearch sunt:

  1. Date distribuite: datele dintr-un cluster sunt distribuite și replicate pe un alt server. Deci, în cazul defectării unui nod, datele pot fi restabilite din nodul replică. Evita punctul unic de eroare.

  2. Roluri dedicate ale nodurilor: Fiecare nod are un rol dedicat atribuit, care asigură rolul specific și distribuirea sarcinii în funcție de rol, sporind astfel performanța. Iată două roluri importante ale nodurilor

  3. Nod de date: Aceste noduri stochează doar date și execută operațiuni legate de date, de căutare și manipulare a datelor.

  4. Nod master: Master-ul tuturor nodurilor, acesta deține responsabilitatea generală a cluster-ului, adaugă și elimină noduri din cluster, ține evidența nodurilor active, gestionează reselectarea în cazurile corespunzătoare.

  5. Scalabilitatea: Modelul de cluster poate fi ușor scalabil într-un număr multiplu de noduri, crescând astfel performanța și fiabilitatea ElasticSearch.

Un nod din cluster este selectat ca nod master, fiind responsabil pentru gestionarea modificărilor la nivel de cluster, cum ar fi crearea/ștergerea unui indice sau adăugarea/eliminarea unui nod din cluster. Nodul master nu trebuie să fie implicat în schimburi sau căutări la nivel de documente, ceea ce înseamnă că existența unui singur nod master nu va gâtui sistemul pe măsură ce traficul crește. Orice nod poate deveni master.

Fiecare nod știe unde se află fiecare document și poate expedia solicitarea direct la nodurile care dețin datele vizate. Indiferent de nodul cu care se discută, acesta gestionează procesul de colectare a unui răspuns de la nodul sau nodurile care dețin datele și de returnare a răspunsului final către client. Toate acestea sunt gestionate în mod transparent de către ElasticSearch.

CyberQuest profită de această tehnologie, așa încât indiferent dacă baza de date subiacentă este grupată sau dacă implementarea se face într-un singur nod, nu mai sunt necesare configurări suplimentare ale CyberQuest.

Verificarea sănătății cluster-ului

CyberQuest este instalat cu plugin-ul ElasticSearch Kopf, pentru reprezentarea vizuală a bazei de date. În configurația standard, acesta poate fi accesat dintr-un browser web, pe portul 9200 al adresei rețelei serverului:

http://CyberQuestIP:9000/

Rețineți că prin setare implicită, portul 9200 este securizat de utilitatea locală Debian iptables, pentru a permite accesul exclusiv gazdei locale. Această restricție poate fi verificată prin executarea următoarei comenzi:

iptables -L

Alt text

Pentru a permite utilizarea plugin-ului Kopf, această regulă trebuie golită cu următoarele comenzi:

iptables -X

Alt text

iptables -F

Alt text

Verificați modificările din comanda anterioară:

iptables -L

Alt text

Acest lucru înseamnă că plugin-ul poate fi lansat și poate comunica cu baza de date internă.

Deschideți un browser web și introduceți următorul link:

http://CyberQuestIP:9200/

Alt text

Rezultatele ar trebui să fie ecranul de conectare, introduceti adresa http://localhost:9200 si apasati butonul "Conectare":

Alt text

pentru instalarea unui singur nod, sau

Alt text

pentru două sau mai multe noduri grupate.

Adăugarea nodurilor în cluster

Opțiunea ElasticSearch, gata de utilizare, este configurată pentru utilizarea descoperirii monodifuzării, pentru a preveni alăturarea accidentală a nodurilor la un cluster. Numai nodurile care rulează pe același dispozitiv vor forma automat un cluster. Pentru a utiliza monodifuzarea, veți specifica în ElasticSearch o listă cu nodurile pe care ar trebui să încerce să le contacteze. Atunci când un nod contactează un nod al listei de monodifuzare, primește o stare completă a cluster-ului, care include toate nodurile din acesta. Apoi contactează master-ul și se alătură cluster-ului.

Acest lucru înseamnă că lista de monodifuzare nu trebuie să includă toate nodurile din cluster-ul dvs. Are doar nevoie de suficiente noduri, astfel încât un nod nou să găsească cu cine să comunice. Dacă folosiți master-uri dedicate, includeți cele trei master-uri dedicate și ați terminat. Această setare este definită în fișierul de configurare elasticsearch.yml:

Alt text

discovery.zen.ping.unicast.hosts: ["OtherEasticSearchHost1","OtherEasticSearchHost2"]

După finalizare, salvați și reinițializați serviciul ElasticSearch: systemctl restart elasticsearch.service

Documentația suplimentară ElasticSearch

Zen discovery

Zen discovery este modulul de descoperire încorporat în ElasticSearch și este inclusiv cel implicit. Acesta oferă descoperiri monodifuzate, însă poate fi extins pentru a suporta medii cloud și alte forme de descoperire. Zen discovery este integrat cu alte module; de exemplu toate comunicațiile dintre noduri au loc folosind modulul Transport.

Procesul prin care un nod folosește mecanismele de descoperire pentru a identifica alte noduri, se numește ping.

Zen discovery este compus din mai multe sub-module, explicate mai jos.

Descoperirea monodifuzată

Descoperirea monodifuzată necesită o listă de gazde ce trebuie utilizate, care vor acționa ca rutere de bârfă. Aceste gazde pot fi specificate ca denumiri de gazde sau adrese IP; gazdele specificate cu denumirea sunt rezolvate în adrese IP în timpul fiecărei runde de pinging. Rețineți că dacă aveți Managerul de securitate Java, JVM procedează implicit la caching pentru rezoluțiile pozitive ale denumirilor gazdei, pe perioadă nedefinită. Acest lucru poate fi modificat prin adăugarea instrucțiunii networkaddress.cache.ttl= la politica de securitate Java. Se vor înregistra în jurnal toate gazdele care nu reușesc soluționarea.

Rețineți și că dacă aveți Managerul de securitate Java, JVM procedează implicit la caching pentru rezoluțiile negative ale denumirilor gazdei, timp de zece secunde. Acest lucru poate fi modificat prin adăugarea instrucțiunii networkaddress.cache.negative.ttl= la politica de securitate Java.

Setarea Descriere
gazele Fie o setare de matrice, fie o setare delimitată cu virgulă. Fiecare valoare ar trebui să fie sub formă de gazdă:port sau gazdă (unde portul procedează implicit la setarea transport.profiles.default.port care revin la transport.tcp.port, dacă nu sunt setate). Rețineți că gazdele IPv6 trebuie puse în paranteze. Setare implicită la 127.0.0.1, [::1]
hosts.resolve_timeout Intervalul de timp de așteptare pentru căutările DNS, la fiecare rundă de pinging. Specificat în unități de timp. Setare implicită la 5s.

Descoperirea monodifuzată folosește modulul Transport pentru a efectua descoperirea.

Alegerea master-ului

Ca parte a procesului de ping, un nod master este fie ales, fie alăturat cluster-ului. Acest lucru se face automat. Un discovery.zen.ping_timeout, care revine la setarea implicită la 3 secunde, permite ajustarea intervalului de selectare, pentru gestionarea situațiilor în care rețeaua este înceată sau aglomerată (valorile mai mari asigură posibilități mai mici de eroare).

Odată ce un nod se alătură, acesta va expedia o solicitare de alăturare la master (discovery.zen.join_timeout), revenind la setarea implicită de așteptare de 20 de ori timpul de așteptare al ping-ului. Atunci când nodul principal se oprește sau întâmpină o problemă, nodurile din cluster încep din nou procesul de ping și vor alege un nou master. Această rundă de pinging servește drept protecție contra erorilor (parțiale) din rețea, unde un nod poate crede în mod incorect că master-ul s-a defectat. În acest caz, nodul va auzi pur și simplu de la celelalte noduri despre masterul activ în mod curent.

Dacă discovery.zen.master_election.ignore_non_master_pings este adevărat, ping-urile de la nodurile care nu sunt eligibile ca master (nodurile unde valoarea node.master este „falsă"), sunt ignorate în timpul selectării master-ului; valoarea implicită este „fals". Nodurile pot fi excluse din procedura de alegere a master-ului, setând node.master ca „fals".

Parametrul Discovery.zen.minimum_master_nodes setează numărul minim de noduri eligibile ca master, care trebuie să se alăture unui master nou selectat, pentru finalizarea unei selecții și pentru ca nodul selectat să își accepte statutul de master. Aceeași setare controlează numărul minim de noduri master eligibile și active, care ar trebui să facă parte din orice cluster activ. Dacă această cerință nu este îndeplinită, nodul master activ se va retrage și va începe o nouă procedură de selectare a master-ului. Setarea trebuie făcută pentru un cvorum compus din nodurile dvs. eligibile ca master. Se recomandă să evitați să aveți doar două noduri eligibile ca master, deoarece cvorumul din doi este doi. De aceea, pierderea oricărui nod eligibil ca master va determina un cluster nefuncțional.

Detectarea erorilor

Există două procese funcționale de detectare a erorilor. Primul este procesul de ping de către nodul principal la toate nodurile din cluster și verificarea activității acestora. La celălalt capăt, fiecare nod execută un proces de ping la master, pentru a verifica dacă este încă activ sau dacă trebuie inițiat un proces de selectare. Următoarele setări controlează procesul de detectare a erorilor, folosind prefixul discovery.zen.fd:

Setarea Descriere
ping_interval Cât de des primește un nod ping-uri. Setare implicită la 1s.
ping_timeout Intervalul de așteptare pentru un răspuns ping, cu revenire la setare implicită la 30s.
ping_retries Numărul de erori/intervale de așteptare ale ping-ului care fac ca nodul să fie considerat defect. Revine la setarea implicită de 3.

Actualizările stării cluster-ului

Un nod master este singurul nod din cluster care poate aduce modificări stării cluster-ului. Nodul master procesează pe rând câte o actualizare a stării cluster-ului, aplică modificările necesare și publică starea actualizată a cluster-ului în celelalte noduri din cluster.

Fiecare nod primește mesajul de publicare, îl confirmă, fără să îl aplice însă. Dacă master-ul nu primește o confirmare de la cel puțin nodurile discovery.zen.minimum_master_nodes, într-un anumit interval de timp (controlat de setarea discovery.zen.commit_timeout și revine la setarea implicită de 30 secunde), modificarea stării cluster-ului este respinsă. Odată ce suficiente noduri au răspuns, starea cluster-ului este angajată și un mesaj este expediat la toate nodurile.

Nodurile încep apoi să aplice starea nouă a cluster-ului în starea internă. Nodul master așteaptă răspunsul tuturor nodurilor, până la un timp de așteptare, înainte de a procesa următoarele actualizări din coadă. Parametrul discovery.zen.publish_timeout este setat implicit la 30 de secunde și este măsurat din momentul începerii publicării. Ambele setări ale timpului de așteptare pot fi modificate dinamic prin actualizarea setărilor API ale cluster-ului.

Documentația extinsă

Documentația extinsă a bazei de date se găsește aici:

Copia de siguranță a CyberQuest™

Dump-ul bazei de date MySQL

Cele mai multe configurații ale aplicațiilor pentru CyberQuest sunt stocate în baza de date internă MySQL.

Baza de date își face copie de siguranță folosind un script MySQL:

#!/bin/sh
USER="dbuser"
PASS="dbpass"
DATE=date +%Y-%m-%d
mkdir -p /data/mysqlbackups/
mysqldump -u [dbuser] -p[dbpass] --all-databases | gzip > /data/mysqlbackups/$DATE.sql.gz
find /data/mybackups/*.sql.gz -type f -mtime +90 -exec rm {} \;

Înlocuiți [dbuser] și [dbpass] cu numele de utilizator și parola MySQL.

Acest script se execută zilnic în baza unei sarcini cron.

Pentru a verifica dacă scriptul este adăugat la planificatorul crontab, folosiți următoarea comandă: : crontab -l

Alt text

Trebuie să existe următoarea linie:

Alt text

Dacă nu, aceasta poate fi adăugată cu: crontab -e

a. Lipiți linia pe ultimul rând:

30 2 * * * /var/opt/cyberquest/dataacquisition/bin/mysql_full_backup.sh

b. Salvați și ieșiți

c. Apoi, verificați fișierul /data/mysqlbackups/ pentru a vedea dacă s-a executat copia de siguranță a bazei de date.

Copia de siguranță a datelor evenimentelor

Ca setare implicită, fiecare mesaj colectat de CyberQuest este expediat automat în stocarea de date, în forma configurată în pagina Setări > Stocarea datelor:

Implicit: /data/storage/default

.

Evenimentele stocate sunt normalizate în format JSON, comprimate, criptate și semnate digital.

Acestea pot fi importate ulterior într-un depozit de backup. Pentru a realiza acest lucru, urmați pașii de mai jos:

a. Creați o nouă stocare de date, conform descrierii de la capitolul „Gestionarea depozitelor / Configurarea depozitelor de date".

b. Creați o sarcină de importare, conform descrierii de la „Gestionarea sarcinilor / Crearea unei sarcini noi"

c. Selectați un depozit de date nou creat ca țintă.

Integrarea cu soluțiile de backup ale terților

În orice configurație de implementare (dispozitiv fizic, dispozitiv virtual, software instalabil), CyberQuest permite setarea conexiunilor externe pentru extragerea datelor și copia de siguranță.

Aplicația este structurată pe sistemul de operare Linux Debian și fiecare nivel al platformei poate fi copiat de siguranță, respectând indicațiile vânzătorului pentru:

Pentru echipamentele virtuale, puteți folosi cele mai bune practici din industrie, definite pentru VMware sau Windows Hyper-V.

Notă: Deși nu există cazuri înregistrate de interferență a agenților terți în procesele CyberQuest, se recomandă să folosiți un instrument fără agent pentru copierea de siguranță a echipamentelor virtuale. Multe instrumente de pe piață, cum ar fi VEEAM™ sau Quest Rapid Recovery™, folosesc un agent instalat pe hipervizor, pentru a gestiona mașinile virtuale și astfel nu instalează nimic pe echipamentul virtual în sine. Însă, dacă trebuie să implementați un agent de backup în echipamentul virtual, vă rugăm să contactați echipa de asistență Nextgen Software pentru orice fel de probleme cu procesele native ale platformei.

Locațiile implicite de backup pentru soluțiile terților sunt:

a. Setările bazei de date de configurare, implicit: /data/mysqlbackups/ folder

b. Copia de siguranță a datelor evenimentelor, implicit: /data/storage/default/ folder

c. Fișierele actuale de instalare CyberQuest/Cyberquest Implicit: /var/opt/cyberquest/ folder

Anexa: Ghidul operatorilor logici și expresiile uzuale

Utilizarea expresiilor uzuale

O expresie uzuală (pe scurt „regex" sau „regexp") este un șir special de test pentru descrierea unui model de căutare. Există multe aplicații de software și limbaje de programare care suportă expresii uzuale. Deseori, folosind o singură expresie uzuală într-una sau doar câteva linii de cod, puteți obține ceea ce în caz contrar ar necesita zeci sau sute de expresii.

Multe aplicații și limbaje de programare au propria implementare a expresiilor uzuale, deseori cu ușoare diferențe și uneori cu diferențe considerabile față de celelalte implementări. Atunci când două aplicații folosesc implementări diferite ale expresiilor uzuale, spunem că folosesc „nuanțe diferite ale expresiilor uzuale".

CyberQuest folosește sintaxa cu expresii uzuale standard și un dicționar pe care îl puteți găsi într-o descriere foarte bună, mai jos:

https://www.regular-expressions.info/

Veți avea nevoie de expresiile uzuale pentru a structura analizatoarele personalizate pentru diversele surse de date pe care trebuie să găzduiți pentru colectare. Această anexă scurtă vă ghidează prin procesul de creare a unei surse de date personalizate (analizator).

Pasul 1: „regex"

Odată ce aveți mesajul, vă puteți folosi de o expresie uzuală pentru a extrage informațiile utile, așa cum se observă mai jos:

Alt text

Pasul 2: analizatorul

După crearea și testarea expresiei uzuale, mergeți la pagina Setări > Reguli > Obiecte DTS și creați un nou analizator JS (obiect DTS), în baza „regex" anterioară:

.

Pasul 3: vizualizare eveniment

Odată ce ați obținut analizatorul, includeți regulile de filtrare corespunzătoare și regulile de achiziție a datelor, conform detaliilor de la „Gestionarea obiectelor de transformare a datelor". Filtrați în funcție de cuvinte cheie sau expresii, folosind operatorii logici ȘI, SAU, NU:

Alt text

  • Aveți la dispoziție filtrele suplimentare și metodele de combinare din tabulatoarele verticale (filtre suplimentare) și (metodă combinare):

    Alt text

  • Informațiile utile vor fi introduse în câmpurile S1, S2... Sn.

Comparatoarele logice și utilizarea acestora

Filtrele suplimentare, simple sau complexe, pot fi adăugate folosind operatorii logici ȘI, SAU, NU. De exemplu, într-o căutare care rezultă de la anumiți utilizatori și o categorie (ex.: deconectare), se poate crea un filtru complex, ca în exemplele de mai jos.

Logical AND (&&) -- (UserName:\" Administrator \") AND (Category:\" Logoff \")

.

Așa cum este indicat, la \"UserName\" apare \"Administrator\" și la \"Category\" apare \"Logoff\".

Logical NOT (!) -- (UserName:\" Administrator \") NOT (Category: \" Logoff \")

De asemenea, în cazul în care căutați un eveniment al utilizatorului, care nu include categoria \"Log Off\", puteți crea un filtru complex, ca acesta:

.

Așa cum este indicat, la \"UserName\" apare \"Administrator\" și la \"Category\" nu apare \"Logoff\".

Logical OR (||) -- (UserName:\"Administrator\") OR (Category:\"Logoff\")

.

Așa cum este indicat, la \"UserName\" apare \"Administrator\" și la \"Category\" apare \"Logoff\".

_exists_ -- EventID:4624 AND _exists_:UserName

.

Așa cum este indicat, apare EventID:4624 și UserName

_missing_ -- EventID:4624 AND _missing_:DestIP

.

Așa cum este indicat, apare EventID:4624 dar nu și UserName

X TO Y -- EventID:[4000 TO 5000]

.

Așa cum este indicat, apare începând cu 4000, 4001 ... și se termină cu 5000