Parsarea bazata pe Tag
Fluxul de date intern CQ
Datele sunt colectate din diverse surse folosind agentul de colectare CYBERQUEST (WMI, ODBC sau colectarea la nivel de fișier etc.), sau primirea fluxurilor de date (syslog, NetFlow etc.). Datele sunt organizate în cozile de așteptare, trimise către un serviciu de achiziție a datelor (DAS), care aplică reguli de achiziție și apoi trimite datele brute către un serviciu de transformare a datelor (DTS). DTS este responsabil de analiza datelor și de generarea alertelor în timp real.
Serverul de date - este responsabil pentru primirea evenimentelor și preprocesarea acestora. După acest proces, evenimentele sunt trimise la serviciul de achiziție de date utilizând serviciul intern de coadă (RabbitMQ).
Windows Agent - trimite evenimentele de la stațiile Windows către serviciul de achiziție de date utilizând serviciul intern de coadă (RabbitMQ).
RabbitMQ - este responsabil pentru gestionarea cozii interne a aplicației.
Data Acquisition - procesează evenimentele utilizând analizoare API. După ce evenimentele au fost procesate, acestea sunt trimise către: baza de date online (Elasticsearch), serviciul de stocare a datelor și serviciul de corelare a datelor.
Data Storage - acest serviciu criptează și comprimă evenimentele din arhivă. Serviciul Data Storage permite aplicației CYBERQUEST să mențină depozite uriașe de arhivă. În proiectele în care datele trebuie păstrate pentru perioade foarte lungi de timp și cu cerințe de acces imediat.
Corelarea datelor - generează alerte bazate pe timp real și corelează evenimentele pentru alertă.
Elastisearch - este baza de date online.
Analiză automată
Analiza automată este efectuată de serviciul Data Server împreună cu serviciul Data Acquisition.
Serviciul Data Server primește evenimentele, le preprocesează și le trimite serviciului Data Acquisition pentru procesare.
Evenimentele care au fost preprocesate de către serverul de date primesc o etichetă, iar achiziția de date le procesează în conformitate cu eticheta dată de serverul de date.
În cazul în care evenimentele nu au fost preprocesate de către serverul de date, acestea nu vor fi procesate de către serviciul de achiziție de date și trebuie adăugată următoarea sursă de date pentru acel tip de eveniment. Sursele de date pot fi adăugate din aplicația web în pagina Setări -> Management -> Managerul surselor de date.
Tag Alias
Tag alias este o funcție care permite analizarea evenimentelor folosind un alt analizor decât cel original furnizat de serverul de date.
Pentru a utiliza Tag Alias, trebuie să identificați eticheta inițială în modulul browser. Eticheta inițială poate avea: EventID 100000, o altă etichetă inițială care nu există în achiziția de date sau fără date pe STRINGFIELDS.
Pentru a accesa această funcție, trebuie să deschideți pagina Tag alias urmând pașii de mai jos:
a) Navigați la Settings prin extinderea în colțul din dreapta sus al interfeței, apoi faceți clic pe Management > Tag Alias:
b) Se va deschide fereastra Tag Alias:
Pentru a adăuga un nou Tag Alias pe care l-ați găsit în Browser Module, apăsați și se va deschide fereastra:
Completați următoarele:
- Etichetă inițială: eticheta pe care ați găsit-o în modulul browser care nu este procesată în CYBERQUEST.
- Final Tag: puteți alege din lista predefinită tag-ul surselor de date. Evenimentele vor fi procesate cu eticheta finală utilizată.
Editați din colțul din dreapta vă permite să editați grupul selectat.
Pentru a șterge un grup din listă, apăsați de lângă acesta. Ca măsură de precauție, vi se va cere să confirmați ștergerea.
Analiză îmbunătățită
Analiză îmbunătățită constă în traducerea evenimentelor și adăugarea de informații suplimentare la cele furnizate deja de Windows. Windows Events Enricher adaugă următoarele informații în câmpul Forensics (Criminalistică):
- Who: - descrie cine a creat evenimentul
- What: - categoria evenimentului
- Where:- descrie locația în care a avut loc evenimentul
- Why: - descrie motivul pentru care a fost creat evenimentul
De exemplu, mergeți la Browser Module și căutați EventID: 4625 și veți găsi câmpul de categorie care se numește _FORENSICS. Acolo veți vedea 4 câmpuri forensics ale Windows Enricher:
- Who: "Nume utilizator/Nume cont"
- What: "Categorie"
- Where: "Computer"
- Why: ""