Introducere

Despre CYBERQUEST

CYBERQUEST este o platformă inovatoare de analiză a securității Big Data, concepută pentru a oferi o acoperire totală de audit și securitate pentru rețeaua întreprinderii dumneavoastră. Am construit CYBERQUEST pentru a funcționa ca o platformă de afaceri agilă și scalabilă care colectează și corelează în mod inteligent datele din infrastructura IT a organizației și lucrează cu acestea pentru a aborda orice tip de amenințare prezentă sau viitoare prin care poate trece întreprinderea.

CYBERQUEST poate fi adaptat la orice tip de organizație și dimensiune și se integrează cu ușurință cu toate soluțiile de securitate de pe piață, indiferent de clasificarea acestora. CYBERQUEST este un adevărat agregator de date de securitate care provin, fie din software de gestionare a informațiilor și evenimentelor de securitate, fie din firewall-uri, platforme de prevenire și detectare a intruziunilor, fie din soluții de securitate a e-mailurilor și a punctelor finale. În plus, CYBERQUEST poate colecta, corela și furniza informații utile despre datele eterogene generate de echipamentele de rețea, servere, baze de date și aplicații, ceea ce îl transformă într-un instrument de gestionare operațională pentru echipe administrative și de securitate.

Capacități de bază:

• Colectare: adunați toate sursele de securitate și de date relevante din infrastructura dvs. IT;

• Corelare: adăugați date de securitate de informații despre amenințări pentru corelarea offline sau online;

• Detectați: identificați rapid cele mai importante amenințări la adresa rețelei dvs;

• Vizualizare: monitorizați cu precizie dintr-un singur punct de acces și primiți alerte specifice;

• Răspuns: Soluția include capabilități de orchestrare, automatizare și răspuns în materie de securitate (caracteristici SOAR);

• Evaluarea vulnerabilității: cu integrarea OpenVAS.

CYBERQUEST reunește și monitorizează toate activitățile care au loc în infrastructura dumneavoastră și, cu ajutorul alertelor în timp real, oferă informații detaliate despre schimbările și activitățile vitale pe măsură ce acestea au loc.

Aflați instantaneu cine, ce, unde, când și de ce a făcut o modificare, apoi transformați aceste informații în analize criminalistice inteligente și aprofundate, îmbunătățite cu date suplimentare din întregul mediu, puneți aceste informații la dispoziția auditorilor și a ofițerilor de securitate și reduceți riscurile asociate cu modificările zilnice.

Accesați interfața web

Interfața web este un frontend web consolidat care găzduiește toate funcționalitățile de administrare și operare ale CYBERQUEST. Interfața web este compatibilă cu toate browserele importante de pe piață.

Pentru a accesa interfața web, deschideți un browser web și tastați adresa aplicației sau numele DNS.

Adresa implicită atribuită inițial interfeței Web este *https://CyberquestIPAddress* (exemplu). Browserul vă redirecționează automat către pagina de autentificare a CYBERQUEST:

Autentificare

Autentificarea utilizatorului

Autentificarea poate fi realizată în două moduri:

• Utilizând un utilizator local definit în aplicație;

• Utilizarea utilizatorului Active Directory al unei companii. Această facilitate permite autentificarea cu credențialele Active Directory atunci când integrarea LDAP a fost configurată în cadrul aplicației. Utilizatorul trebuie să aparțină unuia dintre cele două grupuri de securitate Active Directory: "CYBERQUEST Administrators" (Administratori CYBERQUEST) sau "CYBERQUEST Users" (Utilizatori CYBERQUEST).

Introduceți numele de utilizator și parola implicite, apoi selectați limba interfeței.

Se va afișa un mesaj implicit privind accesul la informații restricționate. Acest mesaj este complet personalizabil.

Acceptați responsabilitatea făcând clic pe butonul “Da, îmi asum întreaga responsabilitate!“. Altfel “Nu, nu sunt de acord!” și veți fi redirecționat către pagina de autentificare.

Autentificarea inițială se efectuează în contul administrativ implicit. La autentificarea ca administrator, se afișează o casetă de confirmare suplimentară. Această etapă suplimentară de autentificare a fost introdusă pentru a notifica cu privire la accesul nediscriminatoriu la întreaga configurație a platformei și pentru a solicita confirmarea de catre utilizator. Activitatea de superadministrator trebuie să fie efectuată cu responsabilitate maximă și cunoștințe maxime de administrare a platformei. Modificarea greșită a configurației, a regulilor și a politicilor de păstrare poate întrerupe accesul la datele analitice, poate șterge sau deteriora obiectele și, mai important, poate cauza pierderea permanentă a datelor din istoric.

Prezentare generală a interfeței web

După autentificare, se va deschide interfața web CYBERQUEST. În mod implicit, modulul Panouri de bord este afișat. În funcție de permisiunile de acces ale fiecărui utilizator, interfața poate fi diferită. Mai jos descriem experiența utilizatorului și funcționalitățile interfeței atunci când se autentifică în calitate de administrator.

Interfața web poate fi împărțită în mai multe zone:

Zona de module

Din secțiunea din stânga sus a interfeței web puteți selecta modulul de aplicație care urmează să fie afișat în zona principală de operare:

• Panouri de bord este modulul implicit care se încarcă la prima autentificare în aplicație. Acesta permite unui operator să vizualizeze rapid informații conținute în depozitul online și acțiuni asupra obiectelor grafice conținute.

• Rapoarte este modulul de raportare propriu aplicației. Acesta conține toate rapoartele predefinite și personalizate pentru uz general și, de asemenea, rapoartele definite pentru operatorul autentificat.

• Modulul de Investigații este destinat să reprezinte grafic informațiile de audit din aplicație. Acest mod permite corelarea nativă a datelor și conectarea evenimentelor relaționale aparente și servește la crearea de legături între diverse evenimente și câmpuri/șiruri.

• Modulul de Browser este destinat să afișeze informațiile din jurnal prezente în sistem.

• Modulul de Alerte gestionează alertele și corelațiile de alertă și permite utilizatorilor să înceapă procese complete de investigare de la un punct inițial - alerta de bază afișată în zona principală de operare.

Făcând clic pe logo-ul afișat în colțul din stânga sus al interfeței web, veți fi direcționat către ecranul de "acasă" care este afișat după conectarea la aplicație.

Zona principală de operare

Zona principală de operare este locul în care persoanele care accesează aplicația își pot desfășura activitățile. Această zonă este specifică fiecărui modul accesat și opțiunile fiind disponibile

depind de permisiunile atribuite utilizatorului. În funcție de capacitățile fiecărui modul, zona principală de operare poate conține conținut personalizat pentru fiecare utilizator - cum ar fi panouri de bord și rapoarte personalizate.

Conținutul și opțiunile disponibile sunt detaliate în cadrul fiecărui capitol al modulului din Ghidul utilizatorului Cyberquest 2.20.

Zona de performanță

Zona de performanță din partea din dreapta sus a interfeței web menține trei indicatori actualizați în timp real:

	CPU -- afișează sarcina actuală a CPU a serverului de aplicații web CYBERQUEST Web Application Server. Dacă se indică pe partea umplută cu culoare a graficului, se deschide un tooltip cu valoarea reală a încărcării curente.
	Memorie -- afișează încărcarea curentă a memoriei serverului CYBERQUEST Web Application Server. Dacă arătați cu degetul pe partea umplută cu culoare a graficului, se deschide un tooltip cu valoarea reală a încărcării curente
	Disk -- afișează încărcarea curentă a CYBERQUEST Web Application Server pe disc. Dacă se indică pe partea umplută cu culoare a graficului, se deschide un tooltip cu valoarea reală a sarcinii a incărcării curente

Zona de activare a utilizatorilor

Zona User Enabler din partea din dreapta sus a interfeței web cuprinde trei butoane de acțiune, după cum urmează:

Evenimente

Apăsați butonul și se va deschide o fereastră pop-up rapidă cu informații statistice despre datele procesate. Sunt furnizate următoarele informații:

• Total evenimente - numărul total de evenimente stocate în prezent în depozitul online

• Evenimentele din ultima oră - numărul total de evenimente colectate în ultima oră

• Evenimentele din ultima zi - numărul total de evenimente colectate în ultima zi

• Total alerte - numărul total de alerte gestionate în prezent de serverul de aplicații

• Alertele din ultima oră - numărul total de alerte semnalate în ultima oră

• Alertele din ultima zi - numărul total de alerte semnalate în ultima zi

Utilizator

Apăsați butonul și se va deschide meniul derulant User (Utilizator) care conține opțiunile descrise mai jos:

• Adăugați autentificarea cu doi factori cu 2FA, adăugați un nivel suplimentar de securitate la contul dvs.

• Opțiunea Change password (Schimbă parola) deschide fereastra Change your password (Schimbă-ți parola), unde utilizatorul conectat în mod curent își poate schimba parola.

• Opțiunea Programe executate deschide raportul Programe executate de către utilizatorul autentificat în mod curent, care conține o listă cu toate programele executate de către utilizatorul autentificat.

• Opțiunea Managementul cazurilor deschide modulul Managementul cazurilor pentru utilizatorul conectat în mod curent

• Opțiunea Logout deconectează utilizatorul conectat în mod curent

Setări

Apăsați clic pe si se va deschide meniul derulant Settings (Setări) care conține opțiunile descrise mai jos:

1)Utilizatori și grupuri:

• Utilizatori și grupuri > Utilizatori

• Utilizatori și grupuri > Grupuri - sunt opțiuni care permit unui administrator să vizualizeze, să adauge, să editeze sau să șteargă utilizatori și grupuri. Pentru utilizatori sunt disponibile acțiuni suplimentare: schimbarea parolei, activarea sau inactivarea, copierea grupurilor de instrumente de bord către utilizatori.

2) Setări ale aplicației

Fiecare dintre opțiunile de configurare a aplicației deschide pagina de configurare a setărilor aplicației care permite administratorului să configureze în detaliu principalele setări ale CYBERQUEST. Pagina prezintă capacități de configurare pentru:

3) Dicționar de evenimente

Opțiunea Dicționar evenimente deschide pagina de configurare Definiții evenimente care permite administratorului să listeze toate definițiile evenimentelor, să adauge o nouă definiție a unui eveniment sau să importe o definiție dintr-un fișier extern sau să efectueze acțiuni asupra definițiilor evenimentelor existente. Acțiunile posibile sunt export, editare și ștergere.

4) Management

• Opțiunea Management > Tablouri de bord deschide pagina de configurare a tablourilor de bord care permite unui administrator să listeze toate tablourile de bord definite, să importe o definiție dintr-un fișier extern sau să efectueze acțiuni asupra tablourilor de bord existente. Acțiunile posibile sunt editarea și ștergerea.

• Opțiunea Management > Filtre deschide pagina de configurare a filtrelor care permite unui administrator să listeze toate filtrele definite, să adauge un nou filtru sau efectuați acțiuni asupra celor existente. Acțiunile posibile sunt editarea și ștergerea.

• Opțiunea Management > Objects (Management > Obiecte) deschide pagina de configurare Object Management (Managementul obiectelor) care permite administratorului să listeze obiectele sau să adauge un obiect nou. Acțiunile posibile asupra obiectelor listate sunt editarea și ștergerea.

• Opțiunea Management > AgentManager deschide pagina de configurare Agent Manager care permite unui administrator să înregistreze un nou agent Windows. Acțiunile posibile sunt editarea, implementarea și ștergerea.

• Opțiunea Management > DataSourceManager deschide pagina de configurare Data Source Manager, care permite unui administrator să adauge o sursă de date.

• Opțiunea Management > CredentialManager (Management > CredentialManager) deschide pagina Configured Credentials (Acreditare configurată), care permite unui administrator să adauge o nouă acreditare. Acțiunile posibile sunt editare și ștergere.

• Opțiunea Management > VulnerabilityManager deschide pagina Vulnerability Manager care permite unui administrator să actualizeze lista de vulnerabilități.

5) Alerte

• Opțiunea Alerts > Summary (Alerte > Rezumat) deschide lista alertelor de rezumat personalizate din modulul Alerts (Alerte), permițând unui administrator să listeze șabloanele de alertă, să creeze un nou șablon de alertă sau să creeze o nouă alertă sumară înregistrată. Acțiunile posibile pentru alertele sumare listate sunt: activare/inactivare, modificare și ștergere.

• Opțiunea Alerte > Șabloane de notificare deschide pagina de configurare a șabloanelor de alertă, permițând unui administrator să creeze un nou șablon de alertă sau o acțiune asupra șabloanelor de alertă enumerate. Acțiunile posibile sunt editare și ștergere.

• Opțiunea Alerte > Timp real deschide lista alertelor definite în modulul Alerte, permițând administratorului să creeze o nouă definiție de alertă sau să importe o alertă dintr-un fișier extern și să efectuați acțiuni asupra definițiilor de alertă existente. Acțiunile posibile sunt editarea, exportul și ștergerea.

6) Reguli

• Opțiunea Rules > Filter Rules (Reguli > Reguli de filtrare) deschide pagina de configurare a regulilor de filtrare care permite administratorului să creeze o nouă regulă de filtrare, să importe o regulă de filtrare dintr-un fișier extern sau să efectueze acțiuni pe cele existente. Acțiunile posibile sunt: activare/inactivare, export, editare și ștergere.

• Opțiunea Rules > DTS Objects (Reguli > Obiecte DTS) deschide pagina de configurare a obiectelor DTS care permite unui administrator să creeze și să importe un obiect DTS dintr-un fișier extern sau să efectueze acțiuni asupra celor existente. Acțiunile posibile sunt: activare/inactivare, export, editare și ștergere.

• Opțiunea Reguli > Reguli DA deschide pagina de configurare a regulilor DA care permite administratorului să creeze și importe o regulă de achiziție de date dintr-un fișier extern sau efectueze acțiuni asupra regulilor existente. Acțiunile posibile sunt: activare/inactivare, export, editare și ștergere.

7) Joburi

• Opțiunea Locuri de muncă > joburi deschide pagina de configurare a locurilor de muncă, permițând unui administrator să creeze un nou job sau să efectueze acțiuni asupra celor existente. Acțiunile posibile sunt: activare/inactivare, execuție, editare și ștergere.

• Opțiunea Jobs > Jobs Executions (Lucrări > Execuții lucrări) deschide lista de execuții ale lucrărilor. Puteți șterge o execuție de lucrări și puteți vedea starea de execuție pentru fiecare lucrare listată.

8)Opțiunea Data Storages deschide pagina de configurare Data Storages care permite administratorului să creeze un nou depozit de date sau să efectueze acțiuni asupra celor existente. Acțiunile posibile sunt: activare/inactivare, editare și ștergere.

9)Opțiunea Data source status (Starea sursei de date) deschide un raport cu toate sursele de date și starea acestora. Raportul permite ștergerea surselor de date și modificarea timpului de alertă. Fiecare sursă de date este prezentată cu un statut. Pagina include un câmp de căutare și posibilitatea de a sorta după orice coloană. Raportul poate fi personalizat în ceea ce privește detaliile incluse sau excluse și exportate în format CSV.

9)Verificator de fișiere pe loturi

Opțiunea Batch Fields Checker deschide fereastra Batch Fields Checker care vă permite să încărcați un fișier text și să executați verificarea pe loturi. Rezultatul poate fi exportat în format CSV.