GHIDUL UTILIZATORULUI

Cuprins

Prezentare generală a Nextgen CyberQuest™

• Despre Nextgen CyberQuest™

• Conceptul și disponibilitatea

• Descrierea fluxului de date de nivel înalt

Interfața web CyberQuest

• Accesarea interfeței web

• Autentificarea utilizatorului

• Prezentare generală a interfeței web

• Modificarea parolei utilizatorului

• Controlul accesului în funcție de rol (RBAC)

• Migrarea tablourilor de bord

• Permisiunile de date

Modulul tablourilor de bord

• Tablourile de bord CyberQuest

• Lucrul cu modulul tablourilor de bord

• Tipurile tablourilor de bord

Modulul Browser

• Modul Browser

• Lucrul cu modulul Browser

Utilizarea căutărilor

• Executarea căutărilor

• Automatizarea scenariilor de căutare complexe

• Sintaxa termenilor de căutare

Modulul Investigații

• Modul Investigații

• Lucrul cu modulul Investigații

• Exemplu de scenariu de investigație a conectării

Modulul Alerte

• Instrucțiuni pentru modulul Alerte

• Personalizarea alertelor în timp real

• Personalizarea alertelor succinte

• Lucrul cu modul Alerte

• Crearea unui exemplu de scenariu de alertă la conectare

• Crearea unui exemplu de scenariu de alertă succintă la conectare

Modulul Rapoarte

• Introducere în modulul Rapoarte

• Lucrul cu modulul Rapoarte

• Exemplu de scenariu de executare a raportului

Modulul de management al cazurilor

• Lucrul cu modulul de management al cazurilor

• Adăugarea evenimentelor/alertelor la un caz

Prezentare generală a Nextgen CyberQuest™

Despre Nextgen CyberQuest™

Nextgen CyberQuest™ poate fi adaptată la orice specific și dimensiune a organizației și integrează cu ușurință toate soluțiile de securitate de pe piață, indiferent de clasificarea acestora. CyberQuest™ comasează datele de securitate provenite fie din software-uri de securitate a informațiilor și management al evenimentelor, firewall-uri, platforme de prevenire și detectare a intruziunilor, fie din soluții de securitate pentru e-mail și puncte finale. În plus, CyberQuest™ poate colecta, corela și furniza perspective utile privind datele eterogene generate de echipamentul de rețea, servere, baze de date și aplicații, reprezentând un aliat al managementului operațional pentru echipele dvs. administrative și de securitate.

• Colectare - gruparea tuturor surselor de date de securitate și date relevante din infrastructura dvs.

• Corelare -- adăugarea datelor de securitate referitoare la amenințări pentru corelarea offline și online

• Detectare -- identificarea rapidă a celor mai semnificative amenințări pentru rețeaua dvs.

• Vizualizare -- monitorizarea cu precizie, în cadrul unui sigur punct de acces și obținerea alertelor specifice

• Răspuns -- generarea rapoartelor și proces decizional în deplină cunoștință de cauză.

CyberQuest™ corelează și monitorizează întreaga activitate desfășurată la nivelul structurii dvs. și oferă informații detaliate despre modificările vitale și activități, în timp real și pe măsură ce acestea se produc. Veți ști instantaneu cine, ce, unde, când și de ce a făcut o modificare și apoi veți transforma informațiile respective în dovezi judiciare inteligente, aprofundate, cu date suplimentare din întregul mediu, veți pune informațiile respective la dispoziția auditorilor și ofițerilor de securitate și veți reduce riscurile asociate modificărilor cotidiene.

Conceptul și disponibilitatea

Nextgen CyberQuest™ poate fi integrat continuu în infrastructura dvs. existentă și poate oferi monitorizarea în timp real a datelor și a comportamentului utilizatorului, detectarea datelor, analiza și corelarea datelor, informații despre securitate și gestionarea evenimentelor, într-o singură platformă, permițându-vă:

• să aveți o vizibilitate unificată și sporită asupra infrastructurii pentru managementul securității

• să asigurați să urmăriți conformitatea normativă, auditurile de securitate și politica,

• să reduceți rapid și precis amenințările la adresa organizației

• să optimizați și să generați rapoarte predefinite, gata de utilizare

• să vă îmbunătățiți securitatea existentă și capacitățile de răspuns la incidente prin soluțiile de gestionare a evenimentelor.

Nextgen CyberQuest™ este un produs de tip echipament (hardware & software), care suportă topologii multi-redundante și care poate fi dezvoltat pe orizontală, prin instalarea unui număr aleatoriu de noduri de procesare sau pe verticală, prin adăugarea resurselor de procesare. Ținând cont de flexibilitatea implementării, soluția poate fi configurată cu ușurință pentru a îndeplini provocările implementării în locații multiple. Soluția este disponibilă și prin oferta „software-as-a-service” (software ca serviciu). Vă rugăm să verificați la distribuitorul local care sunt opțiunile de licență disponibile.

Funcțiile sale principale sunt asigurate de module multiple:

• normalizarea informațiilor disponibile din sistemele SIEM în format propriu, prin conectori speciali dedicați;

• modul de raportare;

• modul de investigare (ca scop principal al aplicației);

• modul administrativ (asigură funcții de configurare și management pentru aplicație);

• modul de alertare (asigură alerte în timp real pentru situațiile configurabile, cu acțiuni de răspuns configurabile);

• modul de management al cazurilor;

• modulul sistemului de transformare a datelor;

Pentru detalii suplimentare referitoare la arhitectură, topologie și distribuirea în locații multiple, vă rugăm să consultați documentația „Ghidul de implementare a Nextgen CyberQuest™ 2.15".

Descrierea fluxului de date de nivel înalt

Nextgen CyberQuest™ este o platformă dedicată de analiză a securității, destinată utilizării de către responsabilii cu securitatea IT. De aceea, CyberQuest™ ajută la asigurarea securității companiilor și respectă reglementările interne și industriale, prin colectarea volumelor mari de date disparate din infrastructură și soluții terțe de securitate, la comasarea și îmbunătățirea datelor colectate, prezentând personalului responsabil cu securitatea informațiile utile despre posibilele riscuri și amenințări, în timp real.

Odată ce regulile de analiză sunt aplicate, datelor transformate li se aplică regulile de retenție și sunt expediate în depozitul online și în depozitul de date de arhivă. Regulile de retenție stabilesc locația și perioada în care datele sunt păstrate în depozite. Viteza de acces este diferența majoră dintre cele două tipuri de stocare. Stocarea online folosește indexarea datelor necomprimate, făcând astfel informațiile disponibile în decurs de câteva secunde, în detrimentul spațiului. Stocarea datelor în arhivă este concepută pentru păstrarea datelor pe termen lung, fără a impune o limită a volumului maxim de date. Arhiva stochează date în fișiere comprimate, criptate și cu semnătură digitală; raportul de compresie de 1:20 este cel standard.

Spațiile de stocare online și din arhivă fac schimb de date în funcție de necesități. Atunci când este necesară o anumită informație, datele sunt extrase automat și importate în depozitul de date online (noduri ElasticSearch) pentru procesare. Corelarea este executată de către un server CyberQuest, iar informațiile rezultate sunt prezentate pe tablourile de bord și rapoarte.

Interfața CyberQuest Web este modulul central folosit atât pentru management, cât și pentru utilizarea platformei. Interfața web folosește un front-end care permite administratorilor și operatorilor să interacționeze cu Nextgen CyberQuest™. În funcție de nivelul de acces permis, utilizatorul va putea accesa rapoartele, tablourile de bord, investigațiile, browser-ul și modulele de alertă și va putea beneficia de întregul set de analiză a securității.

Interfața web CyberQuest

Accesarea interfeței web

Interfața werb este un front-end web consolidat care găzduiește toate funcționalitățile de administrare și funcționare ale Nextgen CyberQuest™. Interfața web este compatibilă cu toate browser-ele importante de pe piață.

Pentru accesarea interfeței web, deschideți un browser web și introduceți adresa sau denumirea DNS a aplicației. Adresa implicită alocată inițial interfeței web este https://192.168.100.1

Browser-ul vă redirecționează automat către pagina de autentificare a Nextgen CyberQuest™:

Autentificarea utilizatorului

Autentificarea se poate realiza într-una dintre cele două modalități:

• Folosirea unui utilizator local definit în aplicație;

• Folosirea unui utilizator Active Directory. Această facilitate permite autentificarea cu acreditările Active Directory, atunci când integrarea LDAP a fost configurată în aplicație. Utilizatorul trebuie să aparțină unuia dintre cele două grupuri de securitate Active Directory: „Administratori CyberQuest" sau „Utilizatori CyberQuest".

După introducerea numelui de utilizator și a parolei, apăsați butonul .

Autentificarea inițială se efectuează sub contul implicit de administrare. La autentificare, apare o casetă suplimentare de confirmare. Această etapă suplimentară de autentificare a fost introdusă pentru a notifica accesul nediscriminatoriu la întreaga configurație a platformei și pentru a solicita confirmarea utilizatorului. Activitatea ar trebui executată cu maximum de responsabilitate și cunoștințe în domeniul administrării platformei. Configurația modificată eronat, regulile și politicile de retenție pot întrerupe accesul la datele de analiză, pot șterge sau deteriora obiecte și mai important decât atât, pot duce la a pierderea permanentă a datelor din istoric.

În cazul în care sunteți de acord cu autentificarea ca administrator, apăsați butonul și se va deschide interfața web. Dacă doriți să reveniți la conectare și să vă autentificați ca operator, apăsați butonul .

Prezentare generală a interfeței web

După autentificare, se deschide interfața web Nextgen CyberQuest™. Modulul Tablouri de bord este afișat implicit. Interfața poate fi diferită, în funcție de permisiunile de acces ale fiecărui utilizator. Mai jos sunt descrise experiența utilizatorului și funcționalitățile interfeței la autentificarea ca administrator.

Interfața web poate fi împărțită în mai multe zone:

Zona modulelor

Din secțiunea din stânga-sus a interfeței web, puteți selecta afișarea modulului aplicației în zona operațională principală:

• Tablourile de bord reprezintă modulul implicit, care se încarcă la prima autentificare în aplicație. Acesta permite operatorului să vizualizeze rapid informațiile incluse în depozit și acțiunile asupra obiectelor grafice conținute.

• Rapoartele reprezintă modul de raportare dedicat al aplicației. Acesta include toate rapoartele predefinite și personalizate, de uz general și rapoartele definite pentru operatorul autentificat.

• Modulul (sau modul) Investigații are rol de reprezentare grafică a informațiilor de audit din aplicație. Acest mod prezintă corelarea nativă a datelor și conectarea evenimentelor aparent relaționate. Astfel, se creează legături între diversele evenimente și câmpuri/șiruri.

• Modulul (sau modul) Browser are rolul de afișare a informațiilor din jurnal prezente în sistem.

• Modulul Alerte (sau modul de alertare) gestionează alertele și corelațiile alertelor și permite utilizatorilor să înceapă procese complete de investigare dintr-un punct inițial -- alerta de bază este afișată în zona operațiunilor principale. Butonul de alerte

Făcând clic pe logo-ul afișat în colțul din stânga-sus al interfeței web, veți ajunge în ecranul „home", afișat după conectarea în aplicație.

Zona operațiunilor principale

Zona operațiunilor principale este locul în care persoanele care accesează aplicația își pot desfășura activitățile. Această zonă este specifică fiecărui modul (sau mod) accesat și există opțiuni disponibile în funcție de permisiunile alocate utilizatorului. În funcție de capacitățile fiecărui modul, zona operațiunilor principale poate avea conținut personalizat pentru fiecare utilizator – cum ar fi tablouri de bord și rapoarte personalizate.

Conținutul și opțiunile disponibile sunt detaliate în fiecare capitol aferent modulelor din Ghidul utilizatorului CyberQuest™ 2.15.

Zona de performanță

Zona de performanță din partea din dreapta-sus a interfeței web, păstrează trei indicatori actualizați în timp real:

	CPU -- afișează capacitatea curentă a CPU în serverul aplicației web CyberQuest. Dacă deplasați cursorul în partea colorată a graficului, se deschide un sfat cu valoarea actuală a capacității curente.
	Memoria -- afișează capacitatea curentă a memoriei în serverul aplicației web CyberQuest. Dacă deplasați cursorul în partea colorată a graficului, se deschide un sfat cu valoarea actuală a capacității curente.
	Disc -- afișează capacitatea curentă a discului în serverul aplicației web CyberQuest. Dacă deplasați cursorul în partea colorată a graficului, se deschide un sfat cu valoarea actuală a capacității curente.

Zona de activitate a utilizatorului

Zona de activitate a utilizatorului din partea din dreapta-sus a interfeței web, include trei butoane de acțiune, după cum urmează:

• Butonul Statistici deschide un pop-up rapid cu informații statistice despre datele procesate. Sunt incluse următoarele informații:

• Evenimentele totale -- numărul total de evenimente stocate în mod curent online

  

• Evenimentele din ultima oră -- numărul total al evenimentelor colectate în ultima oră

• Evenimentele din ultima zi -- numărul total al evenimentelor colectate în ultima zi

• Total alerte -- numărul total de alerte gestionate în mod curent de serverul aplicației

• Alertele din ultima oră -- numărul total al alertelor emise în ultima oră

• Alertele din ultima zi -- numărul total al alertelor emise în ultima zi

• Butonul Utilizator deschide meniul derulant Utilizator, care include opțiunile descrise mai jos:

  

• Opțiunea Bine ai venit, \<utilizator> indică utilizatorul înregistrat în mod curent

• Opțiunea Modificare parolă deschide fereastra Modificare parolă, unde utilizatorul conectat își poate modifica parola.

• Opțiunea Planificări executate deschide raportul Planificările mele executate, care include toate planificările executate de utilizatorul înregistrat în mod curent.

• Opțiunea Gestionare caz, deschide modulul Gestionare caz pentru utilizatorul conectat în mod curent

• Opțiunea Deconectare va deconecta utilizatorul conectat în mod curent.

• Butonul Setări deschide meniul derulant Setări, care include opțiunile descrise mai jos:

  

• Utilizatori și grupuri > Utilizatori și Utilizatori și grupuri > Grupuri sunt opțiuni care permit administratorului să vizualizeze, să adauge, să editeze sau să șteargă utilizatori și grupuri. Utilizatorii au la dispoziție acțiuni suplimentare: schimbare parolă, activare sau dezactivare, copierea grupurilor de bord la utilizatori.

• Opțiunea Conectori deschide pagina de configurare pentru Conectori date, permițând administratorului să afișeze toți conectorii configurați, să adauge un conector nou sau să execute acțiuni pentru cei existenți. Acțiunile posibile includ activarea/dezactivarea, duplicarea, vizualizarea, editarea și ștergerea.

• Opțiunea Dicționar evenimente deschide pagina de configurare pentru Definiții evenimente, permițându-i administratorului să afișeze toate definițiile evenimentelor, să adauge o nouă definiție a evenimentelor sau să importe o definiție dintr-un fișier extern, să execute acțiuni pentru definițiile existente ale evenimentelor. Acțiunile posibile includ exportarea, vizualizarea, editarea și ștergerea.

• Opțiunea Management > Tablouri de bord evenimente deschide pagina de configurare pentru Tablouri de bord, permițându-i administratorului să afișeze toate tablourile de bord definite, să importe o definiție dintr-un fișier extern sau să execute acțiuni la tablourile de bord existente. Acțiunile posibile includ editarea și ștergerea.

• Opțiunea Management > Filtre deschide pagina de configurare pentru Filtre, permițând administratorului să afișeze toate filtrele definite, să adauge un filtru nou sau să execute acțiuni pentru cele existente. Acțiunile posibile includ vizualizarea, editarea și ștergerea.

• Opțiunea Management > Obiecte deschide pagina de configurare Management obiecte, permițând administratorului să afișeze obiectele, listele de obiecte, să adauge un obiect nou sau o listă nouă de obiecte sau să importe obiecte dintr-un fișier CVS extern. Acțiunile posibile pentru obiectele afișate sunt editarea și ștergerea.

  

• Opțiunea Alerte > Timp real deschide lista alertelor definite în modulul Alerte, permițând administratorului să creeze o nouă definiție a alertei sau să importe alerta dintr-un fișier extern și să execute acțiuni asupra definițiilor existente ale alertelor. Acțiunile posibile sunt editarea, exportarea și ștergerea.

• Opțiunea Alerte > Sumar deschide o listă cu sumarul personalizat al alertelor în modulul Alerte, permițând unui administrator să afișeze toate șabloanele alertelor, să creeze un nou șablon de alertă sau să creeze o nouă alertă sumară înregistrată. Acțiunile posibile pentru alertele succinte afișate includ activarea/dezactivarea, vizualizarea, editarea și ștergerea.

• Opțiunea Alerte > Șabloane notificare deschide pagina de configurare pentru Șabloane alertă, permițând administratorului să creeze un nou șablon de alertă sau să acționeze asupra șabloanelor de alertă afișate. Acțiunile posibile includ editarea și ștergerea.

  

• Opțiunea Reguli > Reguli filtru deschide pagina de configurare pentru Reguli filtru, permițându-i administratorului să creeze o nouă regulă de filtrare, să importe o regulă de filtrare dintr-un fișier extern sau să execute acțiuni pentru cele existente. Acțiunile posibile includ activarea/dezactivarea, exportarea, editarea și ștergerea.

• Opțiunea Reguli > Obiecte DTS deschide pagina de configurare pentru Obiecte DTS, permițându-i administratorului să creeze și să importe un obiect DTS dintr-un fișier extern sau să execute acțiuni asupra celor existente. Acțiunile posibile includ activarea/dezactivarea, exportarea, editarea și ștergerea.

• Opțiunea Reguli > Reguli DA deschide pagina de configurare pentru Reguli DA, permițându-i administratorului să creeze și să importe o regulă de achiziționare a datelor dintr-un fișier extern sau să execute acțiuni asupra celor existente. Acțiunile posibile includ activarea/dezactivarea, ordonarea, editarea și ștergerea.

  

• Opțiunea Sarcini > Sarcini deschide pagina de configurare, permițând administratorului să creeze o sarcină nouă sau să execute acțiuni la cele existente. Acțiunile posibile includ activarea/dezactivarea, executarea, editarea și ștergerea.

• Opțiunea Sarcini > Executări sarcini deschide lista executării sarcinilor. Puteți șterge o execuție a sarcinii și vizualiza starea execuției pentru fiecare sarcină afișată.

  

  

• Opțiunea Aplicații rețea deschide pagina de configurare pentru Aplicații rețea, permițând administratorului să creeze o nouă aplicație de rețea, să caute în listă sau să execute acțiuni pentru cele existente. Acțiunile posibile includ editarea și ștergerea.

• Opțiunea Stocări date deschide pagina de configurare Stocări date, permițând administratorului să creeze o nouă stocare a datelor sau să execute acțiuni asupra celor existente. Acțiunile posibile includ editarea și ștergerea.

• Opțiunea Starea sursei de date deschide un raport cu toate sursele de date și starea acestora. Raportul permite ștergerea surselor de date și modificarea orei de alertă. Fiecare sursă de date este prezentată cu o stare. Pagina include un câmp de căutare și posibilitatea de a sorta în funcție de fiecare coloană. Raportul poate fi personalizat în ceea ce privește detaliile incluse și excluse și poate fi exportat în format CSV.

  

• Opțiunea Verificator câmpuri lot deschide fereastra Verificator câmpuri lot, permițându-vă să încărcați un fișier de text și să executați verificarea lotului. Rezultatele pot fi exportate în format CSV.

• Fiecare dintre opțiunile din Setări aplicații deschide pagina de configurare Setări aplicație, permițând administratorului să configureze detaliat principalele setări ale CyberQuest™. Pagina prezintă capacitățile de configurare pentru:

  

  • integrarea Active Directory

  • parametrii de funcționare

  • șabloanele de alertă

  • activele și grupurile de active

  • personalizarea identității companiei

  • parametrii de achiziționare a datelor

  • parametrii de corelare a datelor

  • parametrii serverului de date

  • parametrii de stocare a datelor

  • identificarea ElasticSearch

  • setările e-mailului

  • calea de exportare a rapoartelor

  • perioada de păstrare a depozitului online și a arhivei

  • entitățile găzduite definite.

Zona rapoartelor rapide

Oferă o casetă de căutare pentru toate rapoartele disponibile unui utilizator înregistrat. Rapoartele devin vizibile pe măsură ce tastați. Prin selectarea unui raport din rezultatele căutării derulante, veți ajunge la raportul din modulul de rapoarte.

Modificarea parolei utilizatorului

Odată autentificat, un utilizator poate schimba parola din meniul utilizatorului. Aceasta este o acțiune recomandată insistent după prima conectare și poate fi executată în orice moment ulterior.

Pentru a vă modifica parola, accesați opțiunea Utilizator Modificare parolă. Se deschide fereastra pentru modificarea parolei:

a. Introduceți parola curentă în câmpul Parolă veche.

a. Introduceți parola nouă în câmpul Parolă nouă. Asigurați-vă că respectați cerințele de complexitate setate pentru mediul specific al companiei.

c. Repetați parola noua în câmpul Confirmare parolă.

d. Apăsați butonul pentru a memora parola nouă și închideți fereastra sau apăsați butonul , pentru a închide fereastra fără să salvați modificările. Opțional, puteți închide fereastra fără să salvați modificările, făcând clic pe semnul din colțul din dreapta-sus.

e. După schimbarea parolei, vă recomandăm să vă deconectați, făcând clic pe Utilizator > Deconectare din meniul Utilizator.

Un administrator cu privilegii de gestionare a utilizatorilor își poate schimba parola și poate de asemenea schimba parolele oricărui alt utilizator. Pentru a face acest lucru:

a. În meniul Setări, faceți clic pe Utilizatori și grupuri > Utilizatori. Se deschide pagina de configurare a utilizatorilor.

b. Faceți clic pe butonul pentru dvs. sau pentru utilizatorul căruia trebuie să îi schimbați parola. Se deschide o nouă fereastră Modificare parolă utilizator.

c. Introduceți noua parolă în câmpurile Parolă și Parolă nouă

d. Apăsați butonul pentru a memora parola nouă și închideți fereastra sau apăsați butonul , pentru a închide fereastra fără să salvați modificările. Opțional, puteți închide fereastra fără să salvați modificările, făcând clic pe semnul din colțul din dreapta-sus.

e. Instruiți utilizatorul să se deconecteze din aplicație și apoi să se reconecteze.

Controlul accesului în funcție de rol (RBAC)

Odată autentificat, un utilizator poate schimba parola din meniul utilizatorului. Aceasta este o acțiune recomandată insistent după prima conectare și poate fi executată în orice moment ulterior.

Adăugarea sau editarea rolurilor de utilizator

Rolurile de utilizator sunt alocate conturilor de utilizator, pentru a controla accesul la interfața web. Puteți adăuga sau edita rolurile de utilizator, după caz. Rolurile sunt alocate la nivel de grup.

Pentru adăugarea sau editarea rolurilor de utilizator:

a. Conectați-vă în aplicație cu contul administrativ.

b. Navigați în setări, extinzând din colțul din dreapta-sus al interfeței, apoi faceți clic pe Utilizatori și grupuri > Grupuri.

c. În fereastra Grupuri, faceți clic pe opțiunea Grup nou.

d. Se deschide fereastra Adăugare grup. În fereastra Adăugare grup:

În câmpul Nume, introduceți un nume, cum ar fi Permisiuni restricționate utilizatori.

În câmpul Utilizatori, selectați utilizatorii vizați de regulile predefinite.

În câmpul Permisiuni alocate, selectați permisiunile corespunzătoare pentru utilizatorii selectați.

În câmpul Permisiuni date, selectați datele corespunzătoare pe care utilizatorii selectați le pot vizualiza.

e. Noul grup este dezactivat implicit. Activați grupul selectând opțiunea .

f. Apăsați butonul pentru a adăuga noul grup definit și închideți fereastra sau apăsați butonul , pentru a închide fereastra fără să salvați modificările. Opțional, puteți închide fereastra fără să salvați modificările, făcând clic pe semnul din colțul din dreapta-sus.

Ștergerea grupurilor de utilizatori

Pentru a șterge un grup, navigați în setări, extinzând din colțul din dreapta-sus al interfeței, apoi faceți clic pe Utilizatori și grupuri > Grupuri. Apăsați pe pictograma și confirmați ștergerea grupului dorit. Procedura este ireversibilă.

Grupurile încorporate nu pot fi șterse.

Editarea grupurilor de utilizatori

Pentru a edita un grup, navigați în setări, extinzând din colțul din dreapta-sus al interfeței, apoi faceți clic pe Utilizatori și grupuri > Grupuri. Apăsați pe pictograma . Se afișează fereastra de editare a grupului, unde puteți schimba numele grupului, membrii grupului, permisiunile alocate și permisiunile de date.

Modificarea membrilor grupului, a permisiunilor alocate și a permisiunilor de date se face prin selectarea sau deselectarea obiectelor din fiecare listă derulantă.

Puteți modifica inclusiv starea grupului, ca fiind Activat sau Dezactivat. Starea grupului poate fi modificată rapid din fereastra grupurilor principale, folosind butonul de opțiune Activ și apoi selectând Pornit și Oprit. În acest caz, modificările se salvează automat.

Pentru grupurile încorporate, veți putea doar să adăugați sau să eliminați membri.

f. Apăsați butonul pentru a memora modificările și închideți fereastra sau apăsați butonul , pentru a închide fereastra fără să salvați modificările. Opțional, puteți închide fereastra fără să salvați modificările, făcând clic pe semnul din colțul din dreapta-sus.

Migrarea tablourilor de bord

Fiecare utilizator își poate crea propriile grupuri de bord, care să conțină propriile tablouri de bord. După crearea unui utilizator nou, un administrator poate copia grupurile de bord de la un alt utilizator, care are deja grupurile de bord configurate. Pentru aceasta, urmați pașii de mai jos:

a. Conectați-vă în aplicație cu contul administrativ.

b. Navigați în setări, extinzând din colțul din dreapta-sus al interfeței, apoi faceți clic pe Utilizatori și grupuri > Utilizatori.

c. În fereastra Utilizatori, selectați Copiere grupuri de bord la utilizator

d. Se va deschide fereastra Copiere grupuri de bord la utilizator. Verificați utilizatorii sursă și de destinație din listele derulante Utilizatorul de unde se copiază grupurile de bord și Utilizatorul unde se copiază grupurile de bord. Selectați grupurile de bord dorite din lista derulantă Grupuri de bord copiate și apăsați pe Trimitere, pentru a salva modificările.

e. Deconectați-vă din contul administrativ și conectați-vă cu contul noului utilizator. După conectarea cu succes, modulul Tablouri de bord va afișa noile grupuri de bord, selectate în timpul etapei anterioare.

Permisiunile de date

Soluția oferă opțiuni pentru permisiunile de date, care combinate cu caracteristicile de acces bazate pe roluri, oferă un control detaliat asupra datelor puse la dispoziția membrilor utilizatori ai unui grup. Permisiunile de date sunt setate la nivel de grup.

Pentru a modifica permisiunile de date pentru un grup existent:

a. Conectați-vă în aplicație cu contul administrativ.

b. Navigați în setări, extinzând din colțul din dreapta-sus al interfeței, apoi faceți clic pe Utilizatori și grupuri > Grupuri.

c. În fereastra Grupuri, faceți clic pe butonul pentru grupul care include utilizatorul pentru care doriți să modificați permisiunile de date. Se deschide fereastra Editare grup.

d. În câmpul Permisiuni de date, selectați sau deselectați permisiunile de date corespunzătoare. Dacă nu se selectează niciun filtru, utilizatorul va avea acces nerestricționat la toate datele disponibile.

f. Apăsați butonul pentru a memora modificările și închideți fereastra sau apăsați butonul , pentru a închide fereastra fără să salvați modificările. Opțional, puteți închide fereastra fără să salvați modificările, făcând clic pe semnul din colțul din dreapta-sus.

Modulul tablourilor de bord

Tablourile de bord CyberQuest

Un tablou de bord CyberQuest este o reprezentare grafică a evenimentelor (fie circulară fie sub formă de histograme), care poate fi accesată din interfața modulului Tablouri de bord, la prima conectare în aplicație sau apăsând pe butonul , în orice moment în secțiunea din stânga-sus a interfeței web.

Lucrul cu modulul tablourilor de bord

După conectarea în aplicație, interfața web vă va direcționa la modulul tablourilor de bord, care include o reprezentare vizuală, în timp real, a tuturor datelor incluse în depozitul online, a datei la care sunt corelate, fiind conceput pentru a vă oferi un context util al conformității întregii organizații.

Zona de operare a modulului este împărțită în două secțiuni:

• Secțiunea Căutare și filtrare vă permite controlul granular al informațiilor afișate pe tablourile de bord

• Secțiunea Tablouri de bord include tablourile de bord configurate pentru utilizatorul înregistrat

Secțiunea de căutare și filtrare

Această secțiune vă permite să controlați informațiile afișate pe tablourile de bord și definirea filtrelor suplimentare și a metodelor de combinare pentru datele căutate în intervalul de timp specificat.

Câmpul de căutare oferă posibilitatea de filtrare a informațiilor afișate, folosind capacități de text liber. Dacă nu introduceți nimic în casetă, se afișează toate evenimentele.

Veți găsi un câmp de căutare similar, disponibil pentru modulul Browser. Acest manual include un ghid complet de utilizare a capacităților de text liber.

Puteți specifica filtre suplimentare, folosind Opțiuni filtrare. Ca setare implicită, nu este selectat nimic. La accesarea listei derulante Filtre suplimentare, va apărea o colecție vastă de filtre predefinite, sortate în funcție de tehnologie. Puteți selecta unul sau mai multe filtre.

Va trebui de asemenea să selectați metoda logică pentru combinarea filtrelor selectate în lista derulantă Metodă combinare. Opțiunile disponibile sunt operatorii logici ȘI și SAU. Vă rugăm să rețineți că operatorul selectat se aplică tuturor filtrelor selectate.

După ce ați terminat, apăsați butonul , pentru a aplica selecțiile.

În secțiunea Căutare și filtrare sunt disponibile alte opțiuni:

• Opțiunea Expediere la investigații va direcționa selecția către modul Investigații. Opțiunea deschide un nou tabulator al browser-ului web, în interfața Investigații. Va apărea o fereastră de Filtrare date, care este populată cu informațiile de filtrare pe care le-ați introdus deja. Apăsați butonul pentru a comanda extragerea datelor în funcție de filtre și pentru a afișa interfața Investigații.

  

• Opțiunea Expediere la browser va direcționa selecția către modul Browser. Opțiunea deschide un nou tabulator al browser-ului web, în interfața Browser, care prezintă rezultatele filtrate.

• Opțiunea Expediere la alerte va direcționa selecția către modul Alerte. Opțiunea deschide un nou tabulator al browser-ului web, în interfața Alerte, care prezintă rezultatele filtrate.

Puteți alege să salvați selecția curentă a filtrelor, în orice moment. Dacă apăsați butonul , vor apărea trei opțiuni pentru a ca selecția filtrelor să devină permanentă:

• Opțiunea Salvare ca tablou de bord nou deschide fereastra Salvare ca tablou de bord nou, care vă permite crearea unui nou tablou de bord. Trebuie specificate următoarele:

• Un nume bazat pe convenție pentru noul tablou de bord. Acest nume va apărea în lista tabloului de bord.

• Un nume descriptiv prietenos pentru noul tablou de bord. Acesta va apărea în interfața tablourilor de bord.

• Un text descriptiv care detaliază informațiile, va apărea în noul tablou de bord.

• Câmpul prin care va fi construit graficul.

• Tipul de grafic (diagramă cu bare, radială, cadran, etc.).

  

• Opțiunea Salvare ca raport nou deschide fereastra Salvare ca raport nou, care vă permite crearea unui nou raport. Va trebui să adăugați denumirea și descrierea raportului înainte de salvare.

• Opțiunea Salvare ca filtru nou deschide fereastra Salvare ca filtru nou, care vă permite crearea unui nou filtru. Va trebui să adăugați denumirea și descrierea filtrului înainte de salvare.

Secțiunea Căutare și filtrare include opțiuni pentru setarea intervalului de timp (data și ora) în care aveți nevoie de informații. Această caracteristică este foarte utilă atunci când trebuie să aruncați o privire rapidă asupra conformității într-un anumit interval de timp.

Interfața vă permite să setați o dată specifică de începere și o dată a finalizării și vă oferă inclusiv opțiuni rapide pentru dată (ultima oră, ultima zi, ultimele trei zile, ultimele zece zile, ultimele 30 de zile, ultimele 90 de zile). Ca setare implicită, interfața Tablouri de bord afișează datele din ultima oră. Butoanele de sub câmpurile Data începerii și Data finalizării, vă permit să majorați sau să reduceți rapid intervalul de timp și să specificați referința luată în considerare (ora locală, GMT sau ora evenimentului).

Secțiunea tablourilor de bord

Aceasta este zona principală a ecranului pentru tablourile de bord ale utilizatorului. Un utilizator înregistrat va avea afișate grupurile de bord acționabile, setate pentru profilul său. Făcând clic pe un grup de bord, utilizatorul va putea afișa tablourile de bord incluse în acest grup.

Posibilele acțiuni includ:

• Selectare - făcând clic pe un grup de bord, utilizatorul va putea afișa tablourile de bord incluse în acest grup. Pentru un grup de bord selectat, aveți posibilitatea de a adăuga sau edita rapid un tablou de bord din grupul respectiv.

• Adăugare grup de bord -- apăsând pe butonul de la sfârșitul rândului grupurilor de bord, puteți crea rapid un nou grup de bord în profilul dvs. și îl puteți popula cu tablourile de bord, apăsând pe butonul .

• Ștergere grup de bord -- fiecare selector al grupului de bord are un buton de eliminare în colțul din dreapta-sus, care devine vizibil dacă treceți cu mouse-ul pe deasupra. Dacă apăsați butonul, veți șterge definitiv grupul de bord selectat. Acțiunea nu șterge tablourile de bord conectate la grupul de bord, care pot fi adăugate din nou unui nou grup de bord.

Dacă faceți clic pe un grup de bord, tablourile de bord incluse sunt afișate în interfața Tablouri de bord. Pentru toate tablourile de bord afișate, următoarele acțiuni devin vizibile dacă treceți cu mouse-ul pe deasupra:

• În partea din dreapta-sus a tabloului de bord, veți găsi o serie de butoane de acțiune rapidă:

  

• Maximizare/minimizare -- permite extinderea tabloului de bord la dimensiunea ecranului sau restrângerea acestuia la poziția originală.

• Exportare la CSV -- memorează un fișier CVS care include evenimentele afișate grafic pe tabloul de bord. Lista evenimentelor exportate se potrivește cu numărul setat în selecția derulantă Nr. max. de elemente.

• Exportare obiect tablou de bord -- creează un export al definiției tabloului de bord în format proprietar

• Selectare grafic -- deschide o listă derulantă cu formatele grafice disponibile pentru tablourile de bord, care vă permite să schimbați rapid formatul afișării grafice pentru tabloul de bord respectiv. Modificarea formatului afișării de aici nu modifică definiția tabloului de bord și modificarea va fi anulată la următoarea încărcare.

• Editare tablou de bord -- vă permite editarea și modificarea definitivă a definiției tabloului de bord.

    - Opțiunea Nr. max. de elemente vă permite să modificați numărul maxim de înregistrări afișate pe tabloul de bord. Deoarece scopul interfeței tabloului de bord este să ofere o privire rapidă asupra mediului monitorizat în timp real, numărul maxim de evenimente care poate fi afișat este limitat.

• Un buton de afișare/ascundere vă permite să afișați sau să ascundeți lista elementelor din vizualizare. Numărul elementelor incluse depinde de Nr. max. de elemente setat pentru tabloul de bord respectiv.

Tipurile tablourilor de bord

Tablourile de bord sunt împărțite în diverse categorii. Cele mai reprezentative sunt:

• Diagramele legate de evenimente

• Diagramele legate de rețea

• Diagramele legate de Active Directory

Diagramele legate de evenimente

Reprezintă tablourile de bord structurate pe evenimentele colectate din diferite surse. Mai jos se află cele mai uzuale:

• Diagrama de tip cadran, cu referire la categoriile evenimentelor de top

  

• Diagrama radială cu referire la sursele evenimentelor

  

• Diagrama radială pe două niveluri cu referire la ID-ul evenimentelor

  

• Diagrama cu bare, cu referire la computerul care a generat evenimentul

  

• Diagrama de tip arie, cu referire la proporția dintre conectări și deconectări

  

• Histogramă despre distribuția evenimentelor într-un interval de timp selectat

  

Diagramele legate de rețea

Reprezintă tablourile de bord construite pe fluxul colectat din NetFlow sau din alte tipuri de surse ale fluxului de rețea. Mai jos se află cele mai uzuale:

• Diagrama radială pe două niveluri, cu referire la adresele IP principale identificate în jurnale

  

• Diagrama de tip cadran cu referire la adresele IP interne identificate în evenimente

  

• Diagrama cu bare, referitoare la adresele IP externe identificate în evenimente - principalele adrese IP externe

  

Diagramele legate de Active Directory (sau altele)

Reprezintă tablourile de bord structurate pe informații suplimentare colectate din Windows Active Directory și din alte surse de informații, folosind o corelare între evenimente și WMI, SNMP sau alte tipuri de surse de flux în rețea. Mai jos se află cele mai uzuale:

• Diagramă radială referitoare la numele utilizatorilor -- utilizatorii principali

  

• Diagrama radială pe două niveluri cu referire la denumirile computerelor

  

• Diagramă radială referitoare la conturile Active Directory pentru utilizatori și computere.

  

Modulul Browser

Modul Browser

Modul Browser a fost introdus în interfața web pentru a ajuta operatorii care au nevoie de o vedere clară asupra evenimentelor colectate. Poate fi accesat din interfața modulului Browser, apăsând butonul în orice moment, în secțiunea din stânga-sus a interfeței web.

Lucrul cu modulul Browser

Zona de operare a modulului este împărțită în două secțiuni:

• Secțiunea Căutare și filtrare vă permite controlul granular al informațiilor afișate pe tablourile de bord

• Secțiunea Rezultate include datele acționabile, funcția căutărilor și a filtrelor

• Secțiunea Geolocalizare este un afișaj grafic, care vă va ajuta să marcați evenimente pe harta lumii, funcție a adresei de IP originale sau de destinație

Secțiunea de căutare și filtrare

Această secțiune vă permite să controlați informațiile afișate în Browser și definirea filtrelor suplimentare și a metodelor de combinare pentru datele căutate în intervalul de timp specificat.

Câmpul de căutare oferă posibilitatea de filtrare a informațiilor afișate, folosind capacități de text liber. Dacă nu introduceți nimic în casetă, se afișează toate evenimentele.

Veți găsi un câmp de căutare similar, disponibil pentru modulul Tablouri de bord. Acest manual include un ghid complet de utilizare a capacităților de text liber.

Spre deosebire de modulul Tablouri de bord, există o listă derulantă suplimentară disponibilă lângă respectivul câmp de căutare. Apăsând butonul , veți putea informa interfața despre numărul de elemente afișate pe pagină. Opțiunea implicită este 10 elemente, dar puteți crește la 50 sau 100 de elemente.

Puteți specifica filtre suplimentare, folosind Opțiuni filtrare. Ca setare implicită, nu este selectat nimic. La accesarea listei derulante Filtre suplimentare, va apărea o colecție vastă de filtre predefinite, sortate în funcție de tehnologie. Puteți selecta unul sau mai multe filtre.

Va trebui de asemenea să selectați metoda logică pentru combinarea filtrelor selectate în lista derulantă Metodă combinare. Opțiunile disponibile sunt operatorii logici ȘI și SAU. Vă rugăm să rețineți că operatorul selectat se aplică tuturor filtrelor selectate.

După ce ați terminat, apăsați butonul , pentru a aplica selecțiile.

În secțiunea Căutare și filtrare sunt disponibile alte opțiuni:

• Opțiunea Expediere la investigații va direcționa selecția către modul Investigații. Opțiunea deschide un nou tabulator al browser-ului web, în interfața Investigații. Va apărea o fereastră de Filtrare date, care este populată cu informațiile de filtrare pe care le-ați introdus deja. Apăsați butonul pentru a comanda extragerea datelor în funcție de filtre și pentru a afișa interfața Investigații.

  

• Opțiunea Expediere la tablouri de bord va direcționa selecția către modul Tablouri de bord. Opțiunea deschide un nou tabulator al browser-ului web, în interfața Tablouri de bord, care prezintă rezultatele filtrate.

• Opțiunea Expediere la alerte va direcționa selecția către modul Alerte. Opțiunea deschide un nou tabulator al browser-ului web, în interfața Alerte, care prezintă rezultatele filtrate.

• Opțiunea Exportare toate evenimentele vă permite crearea unui fișier CSV care include toate listele incluse în secțiunea Rezultate. Deoarece numărul de evenimente poate fi foarte mare, ceea ce poate determina o operare îndelungată, dacă apăsați acest buton veți deschide o fereastră de stare care indică procentul exportului. Atunci când exportul ajunge la 100%, aveți posibilitatea de a salva fișierul, accesând link-ul Descărcare raport CSV.

  

Puteți alege să salvați selecția curentă a filtrelor, în orice moment. Dacă apăsați butonul , vor apărea trei opțiuni pentru a ca selecția filtrelor să devină permanentă:

• Opțiunea Salvare ca tablou de bord nou deschide fereastra Salvare ca tablou de bord nou, care vă permite crearea unui nou tablou de bord. Trebuie specificate următoarele:

• Un nume bazat pe convenție pentru noul tablou de bord. Acest nume va apărea în lista tabloului de bord.

• Un nume descriptiv prietenos pentru noul tablou de bord. Acesta va apărea în interfața tablourilor de bord.

• Un text descriptiv care detaliază informațiile, va apărea în noul tablou de bord.

• Câmpul prin care va fi construit graficul.

• Tipul de grafic (diagramă cu bare, radială, cadran, etc.).

• Opțiunea Salvare ca raport nou deschide fereastra Salvare ca raport nou, care vă permite crearea unui nou raport. Va trebui să adăugați denumirea și descrierea raportului înainte de salvare.

• Opțiunea Salvare ca filtru nou deschide fereastra Salvare ca filtru nou, care vă permite crearea unui nou filtru. Va trebui să adăugați denumirea și descrierea filtrului înainte de salvare.

  

Secțiunea Căutare și filtrare include opțiuni pentru setarea intervalului de timp (data și ora) în care aveți nevoie de informații. Această caracteristică este foarte utilă atunci când trebuie să aruncați o privire rapidă asupra conformității într-un anumit interval de timp.

Interfața vă permite să setați o dată specifică de începere și o dată a finalizării și vă oferă inclusiv opțiuni rapide pentru dată (ultima oră, ultima zi, ultimele trei zile, ultimele zece zile, ultimele 30 de zile, ultimele 90 de zile). Ca setare implicită, interfața Browser-ului include toate evenimentele. Butoanele de sub câmpurile Data începerii și Data finalizării, vă permit să majorați sau să reduceți rapid intervalul de timp și să specificați referința luată în considerare (ora locală, GMT sau ora evenimentului).

Secțiunea Rezultate

Aceasta este zona principală a ecranului pentru activitățile de răsfoire. Toate evenimentele sunt afișate în ordine cronologică, numărul de elementele de pe pagină fiind setat din opțiunile de Căutare și filtrare.

Nu sunt afișate toate câmpurile evenimentelor. Cele implicite sunt Ora locală, Computer și Descriere, deoarece acestea sunt câmpurile principale de corelare și trebuie incluse în toate evenimentele. Aveți opțiunea de adăuga sau elimina câmpuri din afișare, făcând clic pe din bara de selectare a câmpului. Această acțiune deschide o listă derulantă cu toate câmpurile disponibile. Adăugați câmpuri la listă prin selectarea acestora. Puteți elimina câmpurile în orice moment, făcând clic pe marcajul x din câmpurile selectate.

Puteți adăuga câmpurile de mai jos:

• Categorie -- categoria căreia îi aparține evenimentul;

• DestIP -- adresa IP de destinație;

• SrcIP -- adresa IP a sursei;

• DestMAC -- adresa MAC de destinație;

• SrcMAC -- adresa MAC a sursei;

• EventID -- numărul de identificare a evenimentului;

• EventLog -- jurnalul de evenimente căruia îi aparține evenimentul;

• EventType -- tipul de eveniment căruia îi aparține acesta;

• GMT -- timpul universal coordonat;

• PlatformID -- număr de identificare de la computerul unde s-a produs evenimentul;

• SessionID -- număr de identificare a sesiunii;

• Sursă -- sursa căreia îi aparține evenimentul;

• UserDomain -- domeniul care include utilizatorul care a produs evenimentul;

• VersionMajor -- numărul versiunii majore a software-ului care a produs evenimentul;

• VersionMajor -- numărul versiunii minore a software-ului care a produs evenimentul;

• S1-S150 -- câmpuri suplimentare de informații.

  

Interfața Browser vă permiteți să efectuați acțiuni asupra evenimentelor incluse. Pentru fiecare eveniment, dacă apăsați din partea stângă, veți deschide un meniu derulant cu următoarele opțiuni:

• Vizualizare eveniment -- deschide o fereastră cu informații, cu toate detaliile evenimentului

• Exportare eveniment ca JSON -- exportă evenimentul ca fișier JSON

• Creare caz de investigare -- deschide fereastra Adăugare dovezi la caz nou, care permite unui investigator să creeze un caz în baza unui eveniment suspect. Gestionarea cazurilor este descrisă în detaliu în Ghidul utilizatorului CQ 2.15, modulul de management al cazurilor.

• Adăugare la investigație existentă - deschide o fereastră de selectare care vă permite să adăugați evenimentul la un caz de investigație existent

• Adăugare la acțiuni eveniment (hartă) -- dacă evenimentul include un IP public care se potrivește cu referința unei geolocații, acesta va fi adăugat pe harta lumii, în secțiunea Geolocalizare.

Toate câmpurile cu excepția Descrierii, vă permit să vă concentrați pe un eveniment selectat, fie prin filtrarea rapidă a evenimentelor prezentate în modul Browser, fie prin restrângerea punctului central al investigației în alte module. Făcând clic pe oricare dintre câmpurile unui eveniment specific, se va deschide un meniu derulant, care include următoarele opțiuni:

• Eliminare globală -- creează o căutare care elimină toate evenimentele ce includ valoarea selectată a câmpului din lista de evenimente. Introducerea se face în caseta Căutare.

• Afișare doar acest element global - instruiește browser-ul să filtreze evenimentele prezentate în funcție de valoarea câmpului selectat. Introducerea se face în caseta Căutare.

• Expediere la investigații -- direcționează selecția către modul Investigații. Opțiunea deschide un nou tabulator al browser-ului web, în interfața Investigații. Va apărea o fereastră de Filtrare date, care este populată cu informațiile de căutare pe care le-ați introdus deja. Apăsați butonul pentru a comanda extragerea datelor în funcție de filtre și pentru a afișa interfața Investigații.

• Expediere la tablouri de bord -- direcționează selecția către modul Tablouri de bord. Opțiunea deschide un nou tabulator al browser-ului web, în interfața Tablouri de bord, care prezintă rezultatele căutării.

  

• Expediere la browser ca \<value>/\<field> -- direcționează selecția către un nou tabulator de Browser, care include rezultatele căutării.

• Expediere la alerte -- direcționează selecția către modul Alerte. Opțiunea deschide un nou tabulator al browser-ului web, în interfața Alerte, care prezintă rezultatele căutării.

Toate acțiunile rapide descrise mai sus funcționează prin crearea căutărilor. Căutarea este populată automat în caseta Căutare. Dacă selectați acțiuni multiple înainte de a le șterge pe cele anterioare, Browser-ul introduce automat un operator logic ȘI în caseta de căutare, separând acțiunile. Acest lucru înseamnă că de exemplu, două instrucțiuni de eliminare globală se vor cumula, determinând o căutare similară cu

NOT DestIP:\"\<IP_Address_1\" AND NOT Computer:\"IP_Address_2\"

Pentru informații suplimentare, vă rugăm să citiți Ghidul utilizatorului CQ 2.15, Utilizarea căutărilor.

Secțiunea geolocației

Dacă instruiți Browser-ul să adauge un eveniment pe hartă și dacă evenimentul respectiv include o adresă IP publică cu referința geolocației, evenimentul va fi marcat pe harta lumii. Acest lucru permite utilizatorilor să vadă exact proveniența evenimentului sau destinația acestuia.

Utilizarea căutărilor

Executarea căutărilor

Pentru a începe căutarea, introduceți aspectele dorite în caseta de căutare. De exemplu, începeți cu un nume de utilizator, o cale de partajare a rețelei, denumirea unui computer sau o frază de căutat în câmpurile evenimentelor.

O căutare implică toate tipurile de elemente disponibile (evenimente, utilizatori, fișiere, computere, etc.), indiferent de tipul de element subliniat în mod curent.

Pentru afișarea evenimentelor dintr-un singur interval de timp specific, utilizați opțiunile de filtrare a intervalului de timp din secțiunea de Căutare și filtrare, din modulurile Tablouri de bord, Browser sau Investigații.

Căutările simple generează rezultate acolo unde termenul specificat este inclus oriunde în datele descoperite. Pentru a restrânge căutarea și pentru a o face mai relevantă, puteți folosi indicii -- de exemplu, un prefix adăugat la denumirile câmpurilor căutate. Pentru detalii, vedeți secțiunea Sintaxa termenilor de căutare de mai jos.

Automatizarea scenariilor de căutare complexe

Pentru a începe căutarea, introduceți aspectele dorite în caseta de căutare. De exemplu, începeți cu un nume de utilizator, o cale de partajare a rețelei, denumirea unui computer sau o frază de căutat în câmpurile evenimentelor.

Unele idei de căutare în fluxul de lucru sunt exprimate cel mai bine ca interogări de căutare cu mai multe niveluri, unde datele generate de o căutare sunt redate automat în fluxul următoarei căutări dintr-un șir. Operatorul canal (|) vă ajută să realizați acest lucru și denumirile câmpurilor din acolade specifică care dintre câmpuri trebuie analizate în datele respective.

Exemplu 1

Identificați managerii tuturor utilizatorilor care au creat sau șters fișiere în partajarea rețelei \\FILESRV1\Software

\"\\FILESRV1\Software\" | Description:{SharePath} AND (What=\"File Created\" OR What=\"File Deleted\") | Who={Who} | DisplayName=\"{ManagedByDisplayName}\"

Exemplu 2

Identificați evenimente în funcție de utilizatorii din biroul din Milwaukee, aflați la computerul FILESRV1

Office=\"Milwaukee\" | Who:{SAMAccountName} AND Where:filesrv1

Exemplu 3

Identificați computerele unde s-au conectat membri grupului de contabilitate

\"Accounting\" | Who:{SAMAccountName} AND What:logon | Where={Where} Example 4: Find all users from the same office as user dshaw Who=\"dshaw\" | Office=\"{Office}\"

Sintaxa termenilor de căutare

Folosiți sintaxa de mai jos pentru termenii de căutare din caseta aferentă. Căutările nu sunt sensibile la majuscule și minuscule.

Termenii cu un singur cuvânt

Aceasta se numește căutarea cu text complet. Căutarea implică toate câmpurile disponibile și folosește operatorul Conține.

| Semnificație | Sintaxă | Detalii | ---|---|---|---|--- | Căutarea unui termen cu un singur cuvânt în orice atribut | Cuvânt fără spații
Exemplu: john | john se potrivește cu John sau john în orice atribut, dar nu se potrivește cu stjohn în niciun atribut | | Căutarea unui termen cu un singur cuvânt, cu începutul specificat în orice atribut| Cuvânt care se termină cu un asterisc () fără spații
Exemplu: john* | john* se potrivește cuJohn sauJohnson în orice<atribut | |Identificarea atributelor în care un termen specific, cu un singur cuvânt nu este inclus în niciun atribut | Cuvânt fără spații, cu liniuță în față
Exemplu: -john | -john se poate potrivi cu înregistrările care includ stjohn, dar nu se potrivește cu înregistrările care includ john în orice atribut| |Identificarea înregistrărilor în care un termen specific, cu un singur cuvânt, cu început specificat nu este inclus în niciun atribut| Cuvânt care se termină cu un asterisc (), fără spații, cu liniuță în față
Exemplu: -john* | -john* se poate potrivi cu înregistrările care includ stjohn, dar nu se potrivește cu înregistrările care includ john sau johnson în orice atribut |

Combinații de termeni

| Semnificație | Sintaxă | Detalii | ---|---|---|---|--- Căutarea unei înregistrări cu termeni specifici cu un singur cuvânt în orice atribut| Cuvânt despărțit de spații Exemplu: john glen* |john glen* se potrivește cu john și glen,sau john și glenda, sau john și glen și glenda, oriunde se găsesc aceștia|| | Căutarea înregistrărilor care nu conțin termeni specifici cu un singur cuvânt în orice atribut | Cuvânt fără spații
Exemple:
• -john -glen
• John -glen* | -john -glen se potrivește cu înregistrările care nu includ john sau glen niciunde john -glen* se potrivește cu înregistrările care conțin john în orice atribut și în același timp, nu conțin niciunde glen sau glenda | | Căutarea înregistrărilor cu fraze specifice cu mai multe cuvinte în orice atribut | Frază între ghilimele
Exemplu: "Account Logon"| "Account Logon" se potrivește cu înregistrările care conțin termenul exactAccount Logon în orice atribut | | Căutarea înregistrărilor care nu conțin o frază specifică cu mai multe cuvinte, în niciun atribut | > Frază între ghilimele
Exemplu: logon server01 -"Account Logon" | logon server01--"Account logon" se potrivește cu înregistrările care conțin cuvintele oriunde Logon și server01, dar nu conțin fraza exactă Account Logon în niciun atribut. | | Îndeplinește unul dintre termenii specificați (sau seturile de termeni) | Termenii (cuvinte individuale sau fraze) separate de operatorul SAU; acest operator are următoarele caracteristici:
• este sensibil la majuscule și minuscule; trebuie specificat întotdeauna ca SAU
• denotă o alegere între totul de la stânga unui obiect sau totul de la dreapta unui obiect.
• puteți folosi operatori SAU multipli într-o interogare; limita unei clauze SAU este începutul interogării, finalul acesteia sau un alt SAU
Exemple:
• paul john SAU Thomas
• -"logon/logoff" server01 SAU stjohn | • paul john SAU Thomas se potrivește înregistrărilor care includ oriunde atât pe John cât și pe Paul, sau Thomas
• -"logon/logoff" server01 SAU stjohn se potrivește fie înregistrărilor fără fraza Logon/Logoff, care conțin server01, sau înregistrărilor cu stjohn (indiferent dacă conțin sau nu fraza Logon/Logoff) | | Marcarea explicită a unei operațiuni ȘI pentru claritate vizuală | Termenii (cuvinte individuale sau fraze) separate de operatorul ȘI; acest operator are următoarele caracteristici:
• este sensibil la majuscule și minuscule; trebuie specificat întotdeauna ca ȘI
• Poate fi omis indiferent de unde apare
Exemple:
• Paul ȘI john
• Paul john | paul ȘI john și paul john sunt identice ca semnificație: se caută înregistrări unde apar atât paul cât și john | | Gruparea și imbricarea termenilor pentru operațiuni logice cu aceștia | Parantezele care încadrează termenii pe care doriți să îi grupați
Exemplu: (homer marge) SAU (peter lois) | (homer marge) SAU (peter lois) se potrivește cu înregistrările care au atât homer cât și marge, sau înregistrărilor cu peter și lois. Nu se potrivește cu înregistrările care au atât peter cât și homer, și care nu conțin lois sau marge. |

Căutarea în atribute specifice

Pentru a aplica termenul de căutare numai unui anumit atribut, introduceți două puncte (:) sau semnul egal (=) înainte de numele atribuitului, pentru a căuta termenul, așa cum este indicat în tabelul de mai jos. Dacă denumirea atributului este compusă din cuvinte multiple, trebuie să îl includeți între paranteze (ca în [log name]:security). Se aplică și toate convențiile sintaxei descrise mai sus.

Distincția următoare este importantă:

• Etichetele mapate fără ambiguități în atributele înregistrate; de exemplu,Path:\"Documents and Settings\" în introducerile accesului în fișier. În acest caz, căutarea implică câmpurile specificate și folosește operatorul Conține.

• Etichetele mapate la atribute diferite în contexte diferite (cunoscute sub denumirea de atribute normalizate); de exemplu Where:primrose ar însemna domeniul primrose pentru utilizatori sau grupuri, computerul primrose pentru fișiere și partajări, etc. În acest caz, căutarea implică și câmpurile asociate, după caz și poate modifica termenii de căutare.

Specificarea ghilimelelor

Dacă termenul dvs. de căutare trebuie să includă ghilimele duble ("), atunci pentru fiecare element de ghilimele duble trebuie să introduceți un element suplimentar de ghilimele duble, pe post de caracter escape. Vedeți exemplele de mai jos:

Pentru a găsi acest șir	Specificați acest termen
the \"Cancel\" button	\"the \"\"Cancel\"\" button\"
computer \"kltest16\"	\"computer \"\"kltest16\"\"\"

Această cerință nu se aplică pentru apostrofuri, folosite deseori ca ghilimele. Ghilimelele individuale de acest tip nu necesită escape și trebuie specificate într-un șir simplu, ca de exemplu în \"local \'Administrator\' user\".

Sintaxa filtrului

Selectați unul dintre operatori (explicați în tabelul de mai jos) și introduceți termenii de filtrare.

Operator	Sintaxă	Exemplu	Semnificație
Conține	[FieldName]:\<Value>	Name:Paul	Atributul conține toți termenii specificați simultan, în orice combinație
Nu conține	NOT [FieldName]:\<Value>	NOT Name:John	Atributul nu conține niciunde niciunul dintre termenii specificați simultan
Egal	[FieldName]:\<Value>	Name:\"John Paul"	Conținutul atributului este identic cu fraza specificată; nu includeți fraza între ghilimele pentru acest operator
Nu este egal	NOT [FieldName]:\<Value>	NOT SamAccountName:jpaul	Conținutul atributului nu este identic cu fraza specificată; nu includeți fraza între ghilimele pentru acest operator

Următoarele reguli ale sintaxei de căutare descrise mai sus, se aplică și pentru termenii de filtrare:

• Termenii sunt sensibili la majuscule și minuscule.

• Termenul poate fi un singur cuvânt, cuvinte multiple sau o frază între ghilimele.

• În termenii cu un singur cuvânt, un asterisc la sfârșit este considerat un caracter wildcard.

• În frazele exacte, un asterisc este considerat ca un caracter obișnuit.

Marcarea căutărilor în etape multiple

Aveți opțiunea de a executa o căutare în rezultatele unei alte căutări. Aceasta este o modalitate de a automatiza practicile de căutare stabilite și poate oferi o reprezentare mai clară și mai convenabilă a intențiilor dvs.

Este similară manierei în care rezultatul unei comenzi este redirecționat către o altă comandă introdusă în limbajele PowerShell și Unix shell. Drept urmare, redirecționarea rezultatelor căutării este furnizată prin operatorul familiar canal (|). Pentru a indica un câmp al cărui valoare trebuie transferată din interogarea din stânga către cea din dreapta prin canal, puneți denumirea între acolade, la fel ca în {Where} sau {EventID}. Exemplu:

\"rd.itsearch\"| What:Logon AND Who:\"{SAMAccountName}\" | Name=\"{Where}\"

În această căutare pe trei niveluri, rezultatele inițiale sunt rafinate de două ori. Mai întâi se identifică toți utilizatorii care sunt membri ai grupului rd.itsearch. Pentru acești utilizatori, găsește evenimentele în care numele conturilor de utilizator SAM se găsesc în câmpul Who (cine), iar câmpul What (ce) include \"Logon\" (conectarea). Din evenimentele rezultate, alegeți doar pe cele care au oricare dintre numele descoperite ale computerelor în câmpul Where (unde).

Modulul Investigații

Modul Investigații

Modul de investigații vizează asistența pentru fluxul de investigare prin reprezentarea ghidată, sub formă de arbore a informațiilor de audit colectate din rețea. Acest mod folosește corelarea datelor native pentru conectarea vizuală a evenimentelor relaționate. Are abilitatea unică de a putea conecta evenimente care aparent nu au legătură între ele, însemnând că nu împart un punct comun de conectare, ca de exemplu denumirea unui computer, numele utilizatorului, punctul de origine, adresa IP de destinație și nu fac parte dintr-un model definit de neconformitate, în baza oricăror atribute enumerate mai sus și a unui ID de eveniment.

Funcționalitatea are rolul de a crea legături între diversele evenimente și câmpuri/șiruri. Se presupune că o investigație pleacă de la un eveniment care trebuie investigat și urmărește un traseu pas cu pas, pentru a identifica informații adiacente utile. Evenimentul poate marca urma unei conectări a utilizatorului, accesarea unui fișier, o adresă IP sau o modificare a configurării.

Începând cu informațiile furnizate inițial, investigatorii pot descoperi cu ușurință evenimentele asociate cu punctul inițial de marcare, corelând dinamic informațiile din câmpuri sau șiruri.

Lucrul cu modulul Investigații

Puteți accesa modul Investigații, prin apăsarea butonului din secțiunea din stânga sus a interfeței web.

Fereastra Date filtrare

Spre deosebire de modulele descrise la capitolele anterioare, interfața Investigații deschide mai întâi o fereastră cu Date filtrare, similară secțiunilor de Căutare și filtrare din modulele tablouri de bord sau browser. CyberQuest folosește o abordare diferită pentru modulul Investigații, deoarece, spre deosebire de Tablouri de bord sau Browser, aici nu există informații implicite de afișat, iar investigatorul are cât de mult spațiu posibil pe ecran pentru a-și desfășura investigația.

Există câteva similarități pentru opțiunile de filtrare a datelor, pe care le găsiți și în modul Browser. Câmpul Căutare oferă posibilitatea de filtrare a informațiilor afișate, folosind capacități de text liber. Dacă nu introduceți nimic în casetă, se afișează toate evenimentele.

Apăsând butonul , veți putea informa interfața despre numărul de elemente afișate pe pagină. Opțiunea implicită este 10 elemente, dar puteți crește la 50 sau 100 de elemente.

Puteți specifica filtre suplimentare, folosind Opțiuni filtrare. Ca setare implicită, nu este selectat nimic. La accesarea listei derulante Filtre suplimentare, va apărea o colecție vastă de filtre predefinite, sortate în funcție de tehnologie. Puteți selecta unul sau mai multe filtre.

Va trebui de asemenea să selectați metoda logică pentru combinarea filtrelor selectate în lista derulantă Metodă combinare. Opțiunile disponibile sunt operatorii logici ȘI și SAU. Vă rugăm să rețineți că operatorul selectat se aplică tuturor filtrelor selectate.

După ce ați terminat, apăsați butonul , pentru a aplica selecțiile sau butonul , pentru a închide fereastra fără a salva modificările. Opțional, puteți închide fereastra fără să salvați modificările, făcând clic pe semnul din colțul din dreapta-sus.

Alte opțiuni disponibile în fereastra Date filtrare:

• Opțiunea Expediere la tablouri de bord va direcționa selecția către modul Tablouri de bord. Opțiunea deschide un nou tabulator al browser-ului web, în interfața Tablouri de bord, care prezintă rezultatele filtrate.

  

• Opțiunea Expediere la browser va direcționa selecția către modul Browser. Opțiunea deschide un nou tabulator al browser-ului web, în interfața Browser, care prezintă rezultatele filtrate.

• Opțiunea Expediere la alerte va direcționa selecția către modul Alerte. Opțiunea deschide un nou tabulator al browser-ului web, în interfața Alerte, care prezintă rezultatele filtrate.

Fereastra Date filtrare include opțiuni pentru setarea intervalului de timp (data și ora) în care aveți nevoie de informații. Această caracteristică este foarte utilă atunci când trebuie să aruncați o privire rapidă asupra conformității într-un anumit interval de timp.

Interfața vă permite să setați o dată specifică de începere și o dată a finalizării și vă oferă inclusiv opțiuni rapide pentru dată (ultima oră, ultima zi, ultimele trei zile, ultimele zece zile, ultimele 30 de zile, ultimele 90 de zile). Ca setare implicită, interfața Browser-ului include toate evenimentele. Butoanele de sub câmpurile Data începerii și Data finalizării, vă permit să majorați sau să reduceți rapid intervalul de timp și să specificați referința luată în considerare (ora locală, GMT sau ora evenimentului).

Rețineți că trebuie să apăsați butonul , pentru a aplica selecțiile și pentru a afișa interfața Investigații. Dacă faceți clic în afara ferestrei sau dacă închideți fereastra fără a colecta datele, interfața va fi afișată fără nicio informație. Singura modalitate de a încărca orice fel de evenimente și de a putea opera în acest mod, va fi să reîncărcați pagina sau să apăsați pe butonul Investigație nouă din pagina Investigații.

Pagina Investigație nouă

Dacă apăsați butonul Obținere date, fereastra Date filtrare se închide și se deschide pagina Investigație nouă. Arborele investigației este afișat în centrul paginii.

Dacă faceți clic în arborele de investigație, informațiile evenimentului vor fi afișate în secțiunea Detalii eveniment din partea din stânga a paginii. Sunt posibile acțiunile următoare:

• Făcând clic pe oricare dintre detaliile evenimentului, veți deschide o fereastră Date filtrare, pre-populată cu căutarea care include selecția, data și ora evenimentului ca data începerii și data finalizării majorate cu o oră de la data începerii. Puteți modifica oricare dintre filtrele de aici și puteți modifica căutarea dacă este necesar, înainte de a apăsa butonul Obținere date.

• Arborele investigației se va extinde cu o nouă ramură care pornește din evenimentul selectat anterior, care include evenimentele corelate cu evenimentul selectat anterior.

• Din acest moment, puteți repeta procesul selectând un eveniment de pe ramura nouă și selectând apoi un detaliu din secțiunea împrospătată Detalii eveniment, acțiuni care vor determina deschiderea unei noi ferestre Date filtrare.

  

Procesul poate fi repetat la nesfârșit.

Dacă apăsați butonul pentru un eveniment inclus în secțiunea Detalii eveniment de pe pagină, veți afișa informațiile din câmpul Descriere. Dacă apăsați butonul , veți ascunde informațiile suplimentare. Există posibilitatea să executați o investigație în funcție de informațiile analizate în câmpul Descriere, și nu doar în câmpurile standard de evenimente.

Dacă apăsați butonul de aici, veți deschide o fereastră pop-up Gestionare caz, care vă permite să adăugați evenimentul la un nou caz de investigație sau la unul existent. Veți găsi informații suplimentare despre gestionarea cazurilor în Ghidul utilizatorilor CQ 2.15, Modulul de management al cazurilor.

Scala arborelui principal al investigației poate fi majorată sau redusă din rotița de derulare a mouse-ului și puteți muta arborele în secțiunea principală Investigație nouă, pentru a observa corespunzător logica investigației, pentru a depista urmele și pentru a vă ghida investigația în mod corespunzător, prin selectarea altor evenimente și date de filtrare.

Rețineți că pentru orice ramură din arbore, numărul de evenimente afișate în pagină este cel setat în selecția inițială din Date filtrare. De aceea, dacă numărul de evenimente este mai mare decât cel maxim afișat, se creează pagini suplimentare de date.

Secțiunea Date curente din dreapta paginii Investigație nouă, vă permite să navigați înainte și înapoi prin aceste pagini de date, apăsând butoanele și . Valorile afișate în antetul secțiunii se vor modifica în mod corespunzător.

În partea dreaptă, sistemul afișează statistici despre evenimentele curente, astfel încât să aveți o prezentare generală a evenimentelor curente rezultate. Ca setare implicită, sistemul afișează grafic evenimentele rezultate din interogare, grupate în câmpul Categorii, în format radial. Folosind elementele de control, puteți alege alte grupări și alte formate în care să fie afișate rezultatele.

Exemplu de scenariu de investigație a conectării

Scenariul de investigație presupune identificarea autentificării în resurse care aparțin unui utilizator, într-o anumită perioadă de timp.

Pasul 1

Accesarea modului Investigații din interfața web.

Pasul 2

Inserarea numelui de utilizator în câmpul de căutare. Acest lucru se poate realiza într-una dintre cele două modalități:

a. Dacă doriți să tratați numele utilizatorului ca șir și să îl căutați în toate câmpurile evenimentelor, trebuie să îl introduceți direct

b. Dacă doriți să filtrați exact câmpul numelui utilizatorului, trebuie să folosiți notația specifică: (UserName:" *investigateduser*")

Textul inserat este interpretat și suportat de sintaxa complexă: Exemple valide pentru căutare:

• Căutare simplă: test;

• Căutare simplă exactă: "test. User2";

• Căutare complexă (spațiul este interpretat ca operator logic „SAU"): test user2;

• Căutare complexă cu câmp: (UserName:\"test. User2\") AND (IP:\"192.168. 190.5\");

• Căutare complexă cu SAU și ȘI: ((UserName:\"test. User2\") OR (UserName:\"test. User1\")) AND (IP:\"192.168.190.5\").

Pasul 3

Selectați intervalul de timp căutat, selectând ora începerii/încheierii. Pentru a le modifica, puteți folosi butoanele suplimentare: acestea adaugă/scad automat zile/ore/minute din ziua/ora curentă.

Pasul 4

Faceți clic pe butonul Obținere date. Sistemul va afișa rezultatele solicitate sau un mesaj că „Nu s-a identificat niciun rezultat". Rezultatele sunt afișate sub formă de arbore.

Pasul 5

Selectați un eveniment (un punct) în partea stângă a ecranului și se vor afișa toate câmpurile care aparțin evenimentului specific respectiv. Toate aceste câmpuri sunt fie câmpuri standard din mediul Windows, fie câmpuri specifice altor tipuri de evenimente. Câmpul Descriere poate fi minimizat/maximizat pentru a afișa informații suplimentare pentru evenimentul respectiv, dacă apăsați butonul Mai multe.

Modulul Alerte

Instrucțiuni pentru modulul Alerte

Caracteristica de alertare a CyberQuest este un modul care poate fi personalizat complet pentru fiecare utilizator conectat. Evenimentul care declanșează o alertă poate fi definit de utilizator, pentru a răspunde nevoilor specifice ale evenimentului, asigurând o precizie mare și reducând la minimum alertele false. Acest lucru se poate face din opțiunile Alerte, din meniul Setări .

Capacitățile de personalizare a fiecărei opțiuni sunt descrise mai jos.

Personalizarea alertelor în timp real

Din meniul Setări, selectați Alerte > Timp real. Se deschide pagina de personalizare a alertelor, în interfața modulului Alerte. Toate definițiile alertelor sunt afișate aici și pot fi editate, șterse sau exportate rapid într-un fișier CQO.

Apăsați butonul , pentru crearea unei noi definiții de alertare. Se deschide fereastra Setări alertă, care vă permite să creați o nouă alertă personalizată, specifică nevoilor dvs. Funcționalitățile ferestrei sunt identice cu cele pentru editarea alertei și sunt descrise ulterior în acest capitol.

Apăsați pe pentru a importa definiția unei alerte dintr-un fișier CQO existent.

Faceți clic pe lista derulantă Afișare 100 înregistrări, pentru a modifica numărul de definiții de alertă, afișat pe o pagină. Opțiunile valabile sunt 100, 50, 25 și 10 înregistrări.

În partea inferioară a paginii, un selector de navigație vă permite să navigați printre paginile care conțin definițiile alertei.

Editarea unei definiții de alertă

Apăsați pe butonul , pentru a edita o definiție existentă. Se deschide fereastra Setări alertă.

În secțiunea Denumire alertă, puteți seta următoarele opțiuni:

• Introduceți denumirea alertei, modificați-o sau lăsați-o nemodificată.

• Selectați șablonul de notificare aplicat pentru alerta dvs. Puteți selecta din șabloanele de notificare încorporate sau cele personalizate. Setarea implicită este Notificare implicită.

• Bifați caseta de validare ALERTĂ ACTIVĂ, dacă alerta este activă sau debifați-o pentru a o dezactiva.

• Modificați valoarea predefinită pentru Intervalul de timp (TTL) sau lăsați-o pe cea implicită. Această setare determină perioada în care alerta este activă după declanșare, reducând numărul de alerte repetate.

  

• Setați o referință pentru Punctajul alertei de securitate, de la 1 la 100. La declanșarea unei alerte, punctajul de securitate își va schimba dinamic valoarea începând de la referința definită, în funcție de regulile definite și de numărul de evenimente. Un punctaj de securitate în timp real poate fi mai mic decât referința și mai mare decât 100. Punctajele de securitate au coduri de culoare:

• Culoarea verde indică o alertă de nivel scăzut. Valoarea maximă este 30.

• Culoarea galbenă indică o alertă de nivel mediu. Variază între 31 și 60.

• Culoarea roșie indică o alertă de nivel ridicat. Variază între 61 și maximum 100.

• Setați o referință pentru Nivelul de securitate a alertei, de la 1 la 10. Nivelurile de securitate se comportă în același fel ca punctajele de securitate și suportă aceeași codificare de culoare.

  

• Caseta de validare Expediere ca alertă are un efect similar cu caseta de validare ALERTĂ ACTIVĂ. Dacă nu este bifată, alerta este activă dar nu va produce niciun efect vizibil. Această setare asigură corelarea backend a analizei anomaliilor pentru evenimente, declanșatoare și alerte multiple.

• Caseta de validare Expediere prin e-mail, permite expedierea alertei către destinatari definiți.

• Dacă executarea unui script poate fi asociată cu alerta, trebuie să bifați așadar și caseta de validare Are regulă script. Regula scriptului este ultima regulă din lista condițiilor de reguli și prevalează în fața tuturor celorlalte reguli. Apăsați butonul , pentru a deschide fereastra Editor script acolo unde puteți crea un script personalizat, aplicat ca regulă.

La secțiunea Reguli, puteți defini granular regulile care controlează comportamentul alertei. Puteți defini de la reguli individuale ale evenimentelor și până la orice corelație dintre evenimente, ordinea în care se produc evenimentele, corelația cu lipsa unui eveniment dintr-o succesiune logică de evenimente și așa mai departe.

Planul din stânga prezintă regulile definite. Sunt disponibile următoarele acțiuni:

• Adăugați o regulă nouă, apăsând butonul . Noua regulă este definită în panoul Setări reguli, de la dreapta.

• Navigați prin regulile definite folosind butoanele Anterior și Următorul. Regula selectată este marcată cu galben și setările sunt afișate în panoul Setări reguli.

• Puteți șterge o regulă apăsând pe butonul .

Panoul Setări reguli vă ajută la definirea logicii regulii. Logica regulii include câmpul, raportul și condițiile de corelare, separate de operatorii logici ȘI, SAU și NU.

Fiecare regulă are:

• O Descriere în care introduceți un text care să descrie regula.

• Un Tip de declanșator al regulii este afișat ca listă derulantă, de unde puteți selecta:

• Un singur declanșator al evenimentului

• Numărătoarea până la pragul max. înainte de expirarea valorii TTL, sau la care expiră TTL și numărătoarea până la realizarea pragului minim.

• Suma PivotField până la pragul max. înainte de expirarea valorii TTL sau de expirarea TTL și suma PivotField până la realizarea valorii pragului minim.

• Media PivotField până când TTL are valoarea pragului min.

• Valorile Prag max., Prag min. și TTL (sec.) pentru tipul de declanșator al regulii

  

Puteți adăuga, edita sau șterge condițiile regulilor:

• Pentru a adăuga o condiție a câmpului, apăsați butonul . În câmpul derulant Selectare câmp, selectați un câmp reprezentativ al evenimentelor. Din următoarea listă derulantă, selectați operatorul valorii corespunzătoare. În cel de-al treilea câmp, introduceți valoarea dorită.

• Pentru a adăuga o condiție a raportului, apăsați butonul . Condiția regulii vă afișează o listă derulantă din care puteți selecta un raport, dintre toate cele existente.

• Pentru a adăuga o condiție de corelare, apăsați butonul . Condiția de corelare vă afișează două liste derulante Selectare câmp, de unde puteți selecta câmpurile de evenimente ce trebuie corelate, o listă derulantă cu operatorul de comparație (egal, nu este egal, mai mic, mai mic sau egal, mai mare, mai mare sau egal) și opțiunea de selectare a condiției regulii pentru care se aplică corelația.

Rețineți că prin adăugarea unei reguli de script, aceasta acționează ca ultima condiție a regulii în lanț, iar efectul acesteia anulează toate celelalte condiții ale regulilor definite mai sus.

Puteți șterge o condiție a regulii, apăsând pe butonul , din dreapta condiției regulii.

La adăugarea unei condiții a regulii, operatorul logic este adăugat automat pentru corelarea la condiția anterioară. Operatorul implicit este ȘI. Faceți clic pe , pentru a schimba valoarea logică în SAU. Faceți clic din nou pentru a reveni la ȘI.

Dacă șirul logic impune acest lucru, puteți adăuga și un operator NU în forma unei casete de validare. Ca setare implicită, acest operator nu este selectat. Faceți clic pe , pentru a selecta operatorul. În acest caz, expresia logică interpretată în regulă va fi ȘI NU, SAU NU.

Rețineți că toate condițiile regulii sunt adăugate în ordine, una după cealaltă.

După ce ați terminat, apăsați pe butonul din partea de sus, pentru a salva regula și reveniși la lista definițiilor alertei, sau apăsați pe butonul , pentru a anula toate modificările.

Personalizarea alertelor succinte

Din meniul Setări, selectați Alerte > Rezumat. Se deschide pagina Alerte succinte înregistrate, care vă permite să gestionați alertele succinte înregistrate și șabloanele de alertă.

Ca setare implicită, pagina deschide o listă cu alertele succinte definite. Din listă puteți activa sau dezactiva rapid, precum și vizualiza, edita sau șterge o alertă succintă înregistrată.

Apăsați pe , pentru a vizualiza rapid definiția alertei succinte înregistrate, inclusiv parametrii acesteia, GUID intern și șablonul de alertă (dacă există), din care s-a constituit alerta.

Apăsați pe , pentru a edita alerta. Mai jos este inclusă o descriere a fiecărei setări din pagina Editare alertă succintă:

• Câmpul Nume include denumirea alertei succinte înregistrate

• Raport reprezintă raportul pentru care s-a generat alerta succintă curentă

• Câmpurile Punctaj securitate și Nivel securitate afișează valoarea de referință pentru amenințarea de securitate a alertei succinte. Așa cum s-a explicat în definițiile alertelor, acest punctaj este folosit pentru evaluarea analitică internă a anomaliilor.

• Rezumat la nivel n, Ora, Unitate interval de timp, Tip rezumat, Împărțire în grupuri de și Prag reprezintă valori folosite pentru definirea rezumatelor pentru această alertă succintă înregistrată.

• Câmpul Notificări include adresele de e-mail unde va fi expediată alerta succintă. Introduceți o singură adresă de e-mail în fiecare rând, fără separatoare.

• Șablon folosit pentru notificare deschide lista derulantă a tuturor șabloanelor care pot fi folosite pentru notificare.

• Selectorul Pornit/oprit vă permite să specificați dacă alerta succintă este activă sau nu.

Apăsați pe Trimitere pentru a salva modificările și reveniți la pagina Alerte succinte înregistrate.

În lista de Acțiuni a paginii, posibilele acțiuni includ:

• Opțiunea Alertă succintă nou înregistrată vă permite să creați o nouă alertă succintă.

• Opțiunea Șablon nou alertă vă permite să creați un nou șablon de alertă.

• Opțiunea Listă șabloane de alertă comută pagina curentă în pagina Șabloane de alertă, care include toate șabloanele definite ale alertelor.

Crearea unei noi alerte succinte înregistrate

Pentru a crea o nouă alertă succintă, selectați opțiunea Alertă succintă nou înregistrată, în oricare dintre paginile detaliate mai sus. Se deschide pagina Alertă succintă nouă; posibilele setări sunt similare cu opțiunile din pagina Editare alertă succintă, descrisă mai sus:

• În câmpul Nume, introduceți o denumire unică a noii alerte succinte

• În lista derulantă Raport, selectați raportul pentru care veți genera alerta succintă.

• În câmpurile Punctaj securitate și Nivel securitate introduceți valoarea de referință pentru amenințarea de securitate a alertei succinte. Dacă nu știți ce valoare să introduceți, vă recomandăm valoarea 50 (respectiv 5) pentru majoritatea cazurilor.

• În listele derulante Rezumat pe nivel n, selectați câmpurile evenimentelor pe care trebuie să le rezumați. Trebuie să aveți o valoare cel puțin pentru nivelul 1, pentru ca alerta succintă să funcționeze.

• Introduceți o valoare de Timp, pentru Unitatea intervalului de timp (minute, ore, zile, săptămâni sau luni) pentru care trebuie să creați rezumatul.

• Tipul rezumatului poate fi o numărătoare, o sumă sau o medie; selectați corespunzător.

• Selectați o valoare pentru setarea Împărțire în grupuri. Setarea implicită este împărțirea pe zile.

• Introduceți o valoare limită pentru această alertă succintă.

• În câmpul Notificări, introduceți adresele de e-mail unde va fi expediată alerta succintă, sub forma unei singure adrese pe fiecare rând, fără separatoare.

• Puteți selecta un Șablon folosit pentru notificare; acesta este opțional.

• Selectorul Pornit/oprit vă permite să specificați dacă alerta succintă este activă sau nu.

Apăsați pe Trimitere pentru a salva modificările și reveniți la pagina Alerte succinte înregistrate.

Crearea sau editarea unui șablon de alertă

Pentru a crea un nou șablon de alertă, selectați opțiunea Șablon nou alertă, în oricare dintre paginile detaliate mai sus. Se deschide pagina Șablon nou alertă; posibilele setări sunt similare paginii Editare șablon alertă, pe care o puteți deschide din lista Șabloane alertă:

• În câmpul Nume, introduceți o denumire unică a noului șablon de alertă.

• În câmpul Text, introduceți un text descriptiv sau inserați un obiect.

Apăsați pe Trimitere pentru a salva modificările și reveniți la pagina Șabloane alertă.

Lucrul cu modul Alerte

Puteți accesa modul Alerte, prin apăsarea butonului din secțiunea din stânga sus a interfeței web.

Zona de operare a modulului este împărțită în două secțiuni:

• Secțiunea Căutare și filtrare vă permite controlul granular al informațiilor afișate în lista alertelor.

• Secțiunea Rezultate include datele acționabile, funcția căutărilor și a filtrelor.

Secțiunea de căutare și filtrare

Această secțiune vă permite controlul informațiilor afișate în lista alertelor.

Câmpul de căutare oferă posibilitatea de filtrare a informațiilor afișate, folosind capacități de text liber. Dacă nu introduceți nimic în casetă, se afișează toate evenimentele.

Acest manual include un ghid complet de utilizare a capacităților de text liber.

Apăsând butonul , veți putea informa interfața despre numărul de elemente afișate pe pagină. Opțiunea implicită este 10 elemente, dar puteți crește la 50 sau 100 de elemente.

După ce ați terminat, apăsați butonul , pentru a aplica selecțiile.

În secțiunea Căutare și filtrare sunt disponibile alte opțiuni:

• Opțiunea Expediere la investigații va direcționa selecția către modul Investigații. Opțiunea deschide un nou tabulator al browser-ului web, în interfața Investigații. Va apărea o fereastră de Filtrare date, care este populată cu informațiile de filtrare pe care le-ați introdus deja. Apăsați butonul pentru a comanda extragerea datelor în funcție de filtre și pentru a afișa interfața Investigații.

  

• Opțiunea Expediere la tablouri de bord va direcționa selecția către modul Tablouri de bord. Opțiunea deschide un nou tabulator al browser-ului web, în interfața Tablouri de bord, care prezintă rezultatele filtrate.

• Opțiunea Expediere la browser va direcționa selecția către modul Browser. Opțiunea deschide un nou tabulator al browser-ului web, în interfața Browser, care prezintă rezultatele filtrate.

Secțiunea Căutare și filtrare include opțiuni pentru setarea intervalului de timp (data și ora) în care aveți nevoie de informații. Această caracteristică este foarte utilă atunci când trebuie să aruncați o privire rapidă asupra conformității într-un anumit interval de timp.

Interfața vă permite să setați o dată specifică de începere și o dată a finalizării și vă oferă inclusiv opțiuni rapide pentru dată (ultima oră, ultima zi, ultimele trei zile, ultimele zece zile, ultimele 30 de zile, ultimele 90 de zile). Ca setare implicită, interfața Alerte include toate alertele. Butoanele de sub câmpurile Data începerii și Data finalizării, vă permit să majorați sau să reduceți rapid intervalul de timp și să specificați referința luată în considerare (ora locală, GMT sau ora evenimentului).

Secțiunea Rezultate

Aceasta este zona principală a ecranului pentru alertele declanșate. Toate alertele sunt afișate în ordine cronologică, numărul de elementele de pe pagină fiind setat din opțiunile de Căutare și filtrare.

Dacă apăsați butonul , din partea de sus a secțiunii Rezultate, veți ajunge la pagina Alerte, unde puteți personaliza alertele în timp real. Funcționalitățile paginii Alerte sunt descrise în detaliu la capitolul despre Personalizarea alertelor în timp real.

Puteți executa acțiuni pentru alertele selectate din listă, dintre opțiunile disponibile în partea de jos a paginii:

• Dacă selectați meniul derulant Modificare în, puteți modifica starea alertelor în Nouă, Confirmată sau Fals pozitivă.

• Dacă apăsați pe butonul , veți șterge alertele selectate.

Oricare dintre alertele incluse pe listă poate fi adăugată la un caz nou sau existent, în modulul Gestionare caz, dacă apăsați butonul . Gestionarea cazului este descrisă în capitolul Modulul de management al cazurilor.

Dacă faceți clic pe numele alertei în coloana Nume Alertă din listă, se deschide fereastra pop-up Vizualizare alertă, unde puteți investiga detaliat alerta declanșată. Următoarele elemente sunt de interes pentru o investigație:

• Nivelul de securitate a alertei reprezintă nivelul actual de securitate calculat pentru o alertă declanșată, plecând de la o referință stabilită în definiția alertei

• Punctajul de securitate a alertei reprezintă punctajul actual de securitate calculat pentru o alertă declanșată, plecând de la o referință stabilită în definiția alertei

• În tabulatorul Active se găsesc toate activele afectate în mod curent de această alertă.

• În tabulatorul SrcIPs se găsesc toate adresele de rețea afectate în mod curent de această alertă.

• În tabulatorul Utilizatori se găsesc toți utilizatorii afectați în mod curent de această alertă.

  

• Dacă apăsați pe opțiunea Informații suplimentare alertă, veți afișa ID-ul unic al alertei și indexul de corelație responsabil pentru declanșarea alertei și calcularea nivelului și a punctajului de securitate.

• Dacă apăsați pe opțiunea Reguli declanșate, veți afișa un raport scurt care include regulile declanșate din definiția alertei. Dacă apăsați butonul pentru orice înregistrare din listă, veți afișa un raport complet, care detaliază evenimente asociate pentru regula declanșată.

  

  

Crearea unui exemplu de scenariu de alertă la conectare

Acest scenariu presupune configurarea unei alerte pentru un utilizator specific, care are două conectări eșuate într-un interval de 60 de secunde.

Pasul 1

Mergeți la Setări > Alerte > Timp real.

Pentru a adăuga o alertă nouă, apăsați pe Creare definiție nouă alertă din pagina Alerte.

Pasul 2

Creați definiția alertei \"Implicit - modificare politică audit\" cu următoarele setări:

• Nume: Implicit - modificare politică audit

• Alerta este activă

• Punctaj de securitate 40

• Nivel de securitate 5

Pasul 3

Definiți o regulă nouă, cu următoarele setări:

• Descriere Evenimente de modificare politică de audit

• ID eveniment: 4670

Pasul 4

Salvați definiția alertei.

Noua definiție apare în pagina Alerte.

Pasul 5

Toate alertele sunt generate în timp real, atunci când sunt îndeplinite condițiile și sunt afișate ca evenimente în interfața modului Alerte. În acest exemplu, alerta a fost generată în baza colectării unui eveniment cu ID-ul 4670 (modificare politică audit) din jurnalul de securitate Windows.

Crearea unui exemplu de scenariu de alertă succintă la conectare

Scenariul de alertare va implica notificarea responsabilului cu securitatea, dacă un utilizator nu a reușit să se autentifice de mai mult de 50 de ori pe zi.

Pasul 1

Crearea unui raport care include definiția alertei (un raport care să indice toate evenimentele filtrate, în acest caz: "Un cont nu a reușit să se conecteze"). Odată executat, raportul va identifica toate evenimentele care se potrivesc în definiția raportului. Va expedia o notificare cu informații relevante, cum ar fi adresa de rețea, numele utilizatorului, data, ora, etc.). Pentru a obține acest rezultat:

• Deschideți modulul Browser.

• Căutați "EventID:4625" care este ID-ul evenimentului Windows: "Un cont nu a reușit să se conecteze". Apăsați pe Date filtrare pentru a afișa evenimentele potrivite

• Faceți clic pe Salvare și selectați opțiunea Salvare ca raport nou

• Introduceți "Un cont nu a reușit să se conecteze" în câmpurile pentru Nume și Descriere.

• Ca setare implicită, noul raport creat va fi memorat în folder-ul Rapoarte personalizate, din modulul Rapoarte.

Pasul 2

Creați o nouă alertă succintă folosind raportul nou generat. Deschideți Setări > Alerte > Sumar și faceți clic pe opțiunea Alertă succintă nouă înregistrată.

Folosiți următoarele setări:

• numele raportului personalizat

• Un punctaj de securitate 50 și un nivel de securitate 5

• Sumar la nivelul 1: Nume de utilizator

• Sumar la nivelul 2: Computer

Pasul 3

Verificați rezultatul.

Modulul Rapoarte

Introducere în modulul Rapoarte

Puteți accesa modulul Rapoarte, prin apăsarea butonului din secțiunea din stânga sus a interfeței web.

În plus față de deschiderea modulului Rapoarte și acțiunile asupra rapoartelor incluse, așa cum sunt explicate în acest capitol, interfața web oferă o căutare rapidă a raportului dorit. Pentru a căuta un raport, introduceți numele acestuia sau o parte din acesta în caseta Căutare rapoarte, din colțul din dreapta-sus al interfeței.

Pe măsură ce tastați, apare o listă derulantă dinamică cu rapoartele potrivite. Dacă selectați un raport din listă, veți ajunge direct la detaliile acestuia din modulul Rapoarte.

Modulul facilitează raportarea planificată și ad-hoc, deodată sau granular, pentru a obține un rezumat complet al conformității și operațiunilor în IT. Interfața modulului permite utilizatorilor și să vizualizeze doar acele rapoarte pentru care sunt autorizați. Folosind o interfață simplă, bazată pe web, veți putea accesa rapid rapoartele predefinite și personalizabile ale instrumentului și puteți acumula plus-valoare.

Rapoartele încorporate CyberQuest sunt concepute pentru a asigura conformitatea cu standardele de mai jos:

• COBIT (Obiective de control pentru tehnologia informațională și conexă)

• FISMA (Legea federală privind managementul securității informatice)

• GDPR (Regulamentul privind protecția datelor cu caracter personal)

• HIPAA (Legea privind transferul asigurării medicale și responsabilitatea)

• ISO 27001 (Standardul securității informatice)

• PCI DSS (Standardul de securitate al datelor din industria cardurilor de plată)

• SOX (Legea Sarbanes-Oxley)

CyberQuest oferă gruparea tehnologică și în funcție de conformitate a rapoartelor incluse. Arborele raportului este structurat astfel:

• Prin accesarea folderelor din tehnologie veți afișa rapoarte sumare și detaliate pentru tehnologia respectivă, concepute pentru a ajuta operatorul să raporteze aspectele legate de conformitate.

• Prin accesarea folder-ului Cele mai bune practici, veți afișa o listă cu cele mai utilizate rapoarte sumare și detaliate, descrise în cele mai bune practici din tehnologie.

• Prin accesarea folder-ului Conformitate, veți afișa toate rapoartele mapate la standardele de conformitate incluse, unde cerințele de conformitate adresate sunt afișate corespunzător.

• Prin accesarea folder-ului Rapoarte personalizate, veți putea accesa rapoartele care nu sunt incluse implicit în CyberQuest.

  

Veți putea crea întotdeauna un nou folder în structură, dacă apăsați pe butonul . Folder-ul va fi creat la același nivel cu cel pe care îl răsfoiți în mod curent.

Puteți de asemenea să importați o definiție de raport dintr-un fișier CQO extern, care este formatul brevetat al CyberQuest. Pentru a importa definiția unui raport, apăsați pe butonul .

Lucrul cu modulul Rapoarte

Interfața modulului Rapoarte este împărțită în două secțiuni:

• Secțiunea Rapoarte și planificări vă permite să navigați prin structura fișierului cu rapoarte și să îl selectați pe cel la care doriți să întreprindeți acțiuni, precum și să creați, să editați și să ștergeți planificări ale rapoartelor.

• Secțiunea Detaliu raport vă permite să editați, să ștergeți și să executați un raport selectat.

Fereastra Detaliu raport

La selectarea unui raport din lista de rapoarte, veți afișa o fereastră cu detaliile raportului în dreapta, care vă permite editarea, ștergerea sau executarea raportului selectat.

Fereastra detaliată include următoarele elemente:

• Titlul raportului și descrierea din colțul din stânga-sus prezintă calea completă și denumirea raportului selectat, precum și descrierea acestuia.

• Butonul Ascundere/extindere din partea din dreapta-sus, vă permite să ascundeți sau să afișați opțiunile de executare a raportului.

• Butonul de editare din colțul din dreapta-sus, vă permite să editați raportul selectat.

• Butonul de ștergere de alături, vă permite ștergerea raportului selectat.

• Opțiunile de executare a raportului vă permit executarea unui raport filtrat după caz.

Executarea rapoartelor

Pentru a executa un raport, asigurați-vă că sunt afișate opțiunile de executare.

Opțiunile de executare vă permit să controlați detaliat datele incluse în raport:

• Puteți seta Data începerii și Data finalizării în mod specific pentru datele raportate.

• Dacă apăsați pe lista derulantă Elemente pe pagină, puteți selecta între 100, 50 și 10 elemente de afișat pe fiecare pagină.

• Dacă bifați caseta Interval de timp, puteți selecta intervalul de timp al raportării pentru fiecare zi selectată.

• Țineți cont de referința din dreapta (ora locală, GMT sau ora evenimentului). În funcție de opțiunea selectată, datele raportate vor modifica în mod corespunzător valorile de timp.

• Caseta de text Date filtrare vă permite să filtrați informațiile incluse în raport, în baza căutărilor de text liber introduse aici. Caseta de text are rolul câmpului de căutare din modulele Tablouri de bord, Browser și Investigații și suportă aceeași sintaxă.

• Lista derulantă de sub caseta Date filtrare vă permite să selectați câmpurile evenimentelor care vor fi adăugate la raport. Ca setare implicită, raportul include numai opțiunile Computer, Descriere, IP destinație, Oră locală, incluse în coloane de raport. Bifați sau debifați orice alt câmp pe care îl considerați necesar.

Puteți planifica executarea raportului cu opțiunile selectate. Pentru a face acest lucru, apăsați butonul în fereastra cu detalii. Se deschide fereastra pop-up Adăugare/editare planificare:

• În câmpul Nume, introduceți un nume reprezentativ pentru raportul planificat sau lăsați denumirea implicită.

• Lista derulantă Raport va fi populată cu raportul sursă. De aici puteți modifica raportul pe care doriți să îl executați.

• Caseta de text Date filtrare include interogarea de filtrare introdusă în fereastra principală cu detaliile raportului. Puteți edita textul după caz.

• În lista derulantă Tip planificare, puteți selecta între valorile Zilnic, Săptămânal sau Lunar. Opțiunile dvs. de selectare se vor modifica în mod corespunzător.

• În câmpul Oră, selectați ora la care doriți executarea raportului.

• În caseta de text Adrese e-mail, introduceți adresele de e-mail ale destinatarilor vizați. Adresele de e-mail trebuie introduse câte una pe fiecare rând, fără separatoare și punctuație. Nu există limită a numărului de destinatari impusă de motorul de planificare.

  

Apăsați butonul Trimitere pentru a crea o planificare nouă sau butonul Închidere, pentru a anula acțiunile și pentru a reveni la interfața principală.

În interfața principală, apăsați butonul pentru a executa raportul. Timpul de execuție depinde de complexitatea interogării, de volumul de date căutat și de numărul de elemente afișate. O simplă căutare va determina afișarea oricărui volum în câteva secunde.

Puteți ascunde sau extinde rezultatele raportului din butonul , din partea de jos a opțiunilor de executare.

Toate rezultatele raportului sunt dinamice și permit operatorului să extindă și mai mult sfera de aplicare a acțiunilor de raportare.

Făcând clic pe un câmp al raportului diferit de Descriere, se deschide un meniu pop-up persistent, care îi permite utilizatorului:

• să creeze o căutare nouă în modulul Tablouri de bord, Investigații sau Browser pentru toate evenimentele cu valoarea specificată a câmpului. Modulul se deschide într-un nou tabulator de browser.

• să creeze o alertă nouă în modulul Alerte pentru toate evenimentele cu valoarea specificată a câmpului. Modulul se deschide într-un nou tabulator de browser.

• să filtreze suplimentar raportul prin afișarea exclusivă a datelor selectate. Căutarea din caseta de text Date filtrare se modifică în mod corespunzător.

• să filtreze suplimentar raportul prin excluderea datelor selectate din listă. Căutarea din caseta de text Date filtrare se modifică în mod corespunzător.

Făcând clic pe butonul din câmpul Descriere, evenimentul se extinde și afișează detaliile complete și o explicație a semnificației evenimentului. Explicația provine dintr-o bază de cunoștințe interne și va fi disponibilă numai pentru ID-urile documentate ale evenimentelor.

Într-o manieră similară celei de mai sus, un utilizator poate face clic pe oricare dintre valorile din câmpul Descriere extins, pentru a extinde și mai mult sfera de aplicare a acțiunii de raportare.

Ascundeți informațiile extinse, făcând clic pe butonul .

Făcând clic pe butonul pentru un eveniment din listă, veți putea exporta instantaneu evenimentul în format JSON.

Gestionarea planificărilor de rapoarte

La selectarea opțiunii Planificări din secțiunea Rapoarte și planificări din interfața modulului Rapoarte, va apărea o listă cu toate rapoartele planificate definite.

Puteți edita și șterge oricare dintre planificările afișate aici. Puteți de asemenea să creați o planificare nouă, apăsând butonul Planificare nouă.

Dacă adăugați o planificare nouă sau editați una existentă, se va deschide fereastra Adăugare/editare planificare, descrisă mai sus.

Editarea rapoartelor

Pentru editarea unui raport selectat, apăsați butonul în colțul din dreapta sus al interfeței Rapoarte. Se deschide fereastra pop-up Editare rapoarte:

• În câmpul Nume, modificați numele raportului sau lăsați-l pe cel implicit.

• Lista derulantă părinte vă permite să mutați raportul într-un folder diferit în structura rapoartelor.

• În câmpul Nume, modificați descrierea furnizată sau lăsați-o pe cea implicită.

  

Apăsați butonul Trimitere pentru a salva modificările sau butonul Închidere, pentru a anula acțiunile și pentru a reveni la interfața principală.

Ștergerea rapoartelor

Pentru ștergerea unui raport selectat, apăsați butonul în colțul din dreapta sus al interfeței Rapoarte.

O fereastră de confirmare vă va cere să apăsați pe OK pentru a șterge raportul sau pe Anulare pentru a anula acțiunea și pentru a reveni la interfața principală.

Exemplu de scenariu de executare a raportului

Pasul 1

Accesați modulul Rapoarte din interfața web.

Pasul 2

Navigând către folder-ul de rapoarte Windows, selectați raportul Activitățile tuturor utilizatorilor Windows.

Pasul 3

Selectați o dată a începerii și o dată a finalizării pentru raportul dvs.

Pasul 4

În câmpul suplimentar de filtrare, puteți adăuga atât filtre simple, cât și unele complexe, cu ajutorul operatorilor logici ȘI, SAU și NU; de exemplu pentru o căutare care rezultă doar din anumiți utilizatori și o categorie (de ex.: Logoff), un filtru complex poate arăta astfel:

(UserName:DC01\$) AND (Category:File System)

Pasul 5

Rezultatele căutării vor fi afișate în partea de jos a paginii web în ordine cronologică ascendentă; pentru detalii referitoare la evenimente, trebuie să faceți clic pe câmpul respectiv. În câmpul de afișare a rezultatelor, numărul de pagini pe care apar rezultatele este afișat împreună cu numărul rezultatelor totale („Rezultate totale") și pagina curentă.

Modulul de management al cazurilor

Lucrul cu modulul de management al cazurilor

Nextgen CyberQuest™ oferă un modul de management al cazurilor conceput pentru a ajuta organizațiile și utilizatorii să creeze și să urmărească fluxurile de lucru, pentru adresarea rapidă a incidentelor. Fiecare caz creat are un proprietar și i se pot aloca colaboratori, pentru a îmbunătăți procesul decizional și soluționarea simplificată a cazului. Permite de asemenea adăugarea tuturor dovezilor care au legătură cu evenimentul sau alerta respectivă, care au determinat crearea cazului.

Puteți accesa modulul de management al cazurilor, selectând opțiunea din meniul Utilizatori din interfața web.

Utilizatorului i se afișează pagina Management cazuri -- Cazurile mele, care permite gestionarea cazurilor existente și deschiderea unui caz nou, dacă este necesar:

• Pentru a deschide un caz nou, selectați opțiunea Caz nou din meniul Acțiuni.

• Pentru vizualizarea tuturor cazurilor unde utilizatorul autentificat este și proprietar, selectați Cazurile mele.

• Pentru a afișa cazurile unde utilizatorul autentificat are permisiuni de accesare, selectați din meniul derulant Stare:

• opțiunea Toate, care afișează toate cazurile, indiferent de stare.

• opțiunea Nou, care afișează toate cazurile noi deschise.

• opțiunea Deschis, care afișează toate cazurile deschise.

• opțiunea Soluționat, care afișează toate cazurile marcate ca soluționate.

• opțiunea Închis, care afișează toate cazurile închise.

• opțiunea Arhivat, care include toate cazurile arhivate.

• Pentru a căuta un caz, folosiți caseta Căutare din partea inferioară a meniului Acțiuni.

Afișarea cazurilor determină apariția unei liste cu cazuri în partea dreaptă a meniului Acțiuni. Afișarea se face în ordine cronologică, cu ultimul caz creat în partea de sus.

Apăsați pe pentru a obține o vizualizare rapidă a cazului afișat. Se deschide pagina Caz, unde puteți vizualiza informații ca:

• numele cazului, descrierea, starea și proprietarul actual.

• cronologia cazului, care prezintă toate activitățile desfășurate la acest caz, în ce constă fiecare activitate, cine, ce și când a adăugat ceva la acesta.

  

• Dacă apăsați butonul , veți obține dovezile complete adăugate la caz.

• Dacă apăsați butonul veți vedea detaliile complete ale evenimentului, prezentate ca dovezi la caz.

În orice moment puteți utiliza opțiunile rapide disponibile în meniul Acțiuni, pentru a edita sau șterge cazul și pentru a crea un caz nou.

Apăsați pe , pentru a edita cazul. Mai jos este inclusă o descriere a fiecărei setări din pagina Editare caz:

• În câmpul Nume, modificați numele cazului sau lăsați-l neschimbat.

• În lista derulantă Colaboratori, selectați utilizatorii care vor avea permisiunea de a contribui la caz.

• În lista derulantă Stare, modificați starea cazului dvs. Posibilele stări sunt: nou, deschis, soluționat, închis și arhivat.

• Adăugați dovezi noi la cazul dvs. Puteți adăuga orice fișier extern pe care îl considerați relevant.

Apăsați pe butonul pentru a salva modificările și pentru a reveni la pagina principală.

Crearea unui caz nou

Pentru a crea un caz nou, selectați opțiunea din meniul Acțiuni, din orice parte a paginii modulului de management al cazurilor. Se deschide pagina Adăugare caz, la fel ca pagina Editare caz, descrisă mai sus. Observații:

• Introduceți un nume și o descriere relevantă pentru cazul dvs. Cea mai bună practică implică utilizarea unui standard de codificare pentru câmpul Nume și utilizarea câmpului Descriere pentru a indica colaboratorilor denumirea la care se face referire.

• Starea cazului implicit este Nou. Vă recomandăm să implementați o procedură internă pentru situația în care cazul este setat din Nou în Deschis, Soluționat/Închis și pentru situația în care este arhivat.

• Definiți o listă cu tipurile de cazuri pentru organizația dvs. Tipurile de cazuri sunt relevante pentru sortarea istorică a informațiilor.

Adăugarea evenimentelor/alertelor la un caz

Gestionarea cazurilor este integrată aprofundat în toate modulele de investigație ale CyberQuest. Peste tot pe unde se poate deschide un meniu de acționare a Managementului de caz, sau unde înregistrarea este efectuată cu un buton de acțiune , referința respectivă poate fi adăugată ca dovadă la cazul existent sau se poate crea un caz nou, pornind de la dovezile respective.

Adăugarea unui eveniment la un caz se poate face și din modulele Investigații sau Browser:

• Pentru a adăuga un eveniment din modulul Investigații, selectați evenimentul dorit din interfața Investigații și apăsați pe butonul . Astfel veți deschide un meniu de acțiuni rapide pentru Managementul cazului, care permite adăugarea evenimentului la un caz existent sau crearea unui caz nou de la zero.

  

• Pentru a adăuga un eveniment din modulul Browser, apăsați pentru evenimentul dorit în listă și selectați fie opțiunea Creare caz investigație, fie opțiunea Adăugare la investigație existentă.

  

Adăugarea unei alerte la un caz se poate face și din modulul Alerte. Pentru a adăuga un eveniment din modulul Alerte, apăsați pe butonul . Astfel veți deschide un meniu de acțiuni rapide pentru Managementul cazului, care permite adăugarea evenimentului la un caz existent sau crearea unui caz nou de la zero.