Збір даних

Скопіювати URL-адресу поточної статті Поділитись електронною поштою

Ця стаття (PDF) Повна документація (PDF)

Параметри збирання даних впливають на те, як дані зберігаються в базі даних.

Незалежно від параметрів, вибраних користувачем, усі низькорівневі необроблені події збираються на робочих станціях, надсилаються на сервер і обробляються механізмом правил, який генерує виявлення (коли це необхідно).

Якщо виявлення генерується для певної події, ця конкретна подія також зберігається в базі даних незалежно від вибраного параметра збирання даних. Для подій, які обробляються механізмом правил без активації виявлення, застосовуються такі параметри збирання даних:

Зберігати всі доступні дані

Усі зібрані низькорівневі необроблені події зберігаються в базі даних. Якщо використовується цей параметр, створюється велика база даних, проте можна детально розслідувати можливі інциденти, оскільки аналітикам доступна інформація про всі дії, які виконувалися в системі, незалежно від того, чи були вони раніше позначені продуктом як підозрілі.

Цей параметр дає змогу використовувати всі функції продукту (наприклад, ретроспективний пошук, виконання запитів Threat Hunting або повторний запуск наявних або спеціальних правил для даних).

Зберігати найважливіші дані

Зберігає всі дані, пов’язані з процесами (наприклад, зберігаються дані про всі процеси, виконані на робочих станціях, разом з їхніми властивостями, такими як командний рядок тощо). Окрім того, обмежується зберігання низькорівневих подій, створених процесами: зберігаються лише ті події, які генерують виявлення. Це означає, що аналітикам будуть доступні повні дерева процесів для розслідування (зверніть увагу на відповідні налаштування для періоду зберігання даних). Проте аналітикам доступні тільки ті дії процесів (запис на диск, запис у реєстр, підключення до мережі тощо), які явно виявлені правилом.

Це може призвести до ситуації, коли будуть доступні відомості про мережеве підключення (виявлене правилом), проте неможливо дізнатися, що завантажений файл було записано на диск (якщо конкретну операцію запису файлу не було виявлено іншим правилом). Так само неможливо буде за допомогою ретроспективного пошуку знайти ідентифікатори компрометації, які не пов’язані з процесом або файлом і не були виявлені правилом раніше. Наприклад, можна буде знайти хеш файлу або фрагмент командного рядка, але не операцію запису в реєстр.

Припустимо, через використання цього параметра ви пропустили певні важливі події. У цьому разі можна налаштувати цей параметр, створивши спеціальні правила (зазвичай із низьким рівнем серйозності, який ви ігноруватимете під час моніторингу), які виявлятимуть виключно ті події, що вас цікавлять, і зберігатимуть ці низькорівневі події в базі даних.

Зберігати лише дані, безпосередньо пов’язані з виявленими об’єктами

Якщо використовується цей параметр, зберігаються лише ті дані про низькорівневі події, які явно виявлені правилом. У цьому режимі створюється база даних найменшого розміру. Це стосується як дій (наприклад, запис на диск, запис у реєстр, підключення до мережі тощо), так і до самих процесів (виконання процесу, командний рядок тощо). Однак, якщо виявлення ініціюється для процесу, пов’язаних з ним даних, а також для даних, пов’язаних зі всіма батьківськими процесами, у базі даних зберігається дерево процесів і прямі дочірні процеси. (Зберігання даних, пов’язаних із процесом, для цих додаткових процесів не призводить до зберігання інших даних, наприклад подій, які пов’язані з дією). У базі даних не зберігається інформація про всі інші процеси.

Це означає, що як і у випадку з використанням параметра "Зберігати найважливіші дані", можуть бути недоступні відомості про певні дії, а також процеси, які явно не були виявлені правилом (і не входять у ту збережену частину дерева процесів, про яку йшлося вище) з відповідними наслідками. У дереві процесів не відображаються процеси для збережених даних.

Можливість ретроспективного пошуку індикаторів компрометації буде мінімальною, оскільки не відображатимуться ані індикатори компрометації, пов’язані з діями, ані індикатори компрометації, пов’язані з властивостями процесу (командний рядок тощо), якщо вони не були виявлені правилом раніше.

Як було зазначено для попереднього варіанта, можна налаштувати цей параметр, створивши спеціальні правила (зазвичай із низьким рівнем серйозності, який ви ігноруватимете під час моніторингу), які виявлятимуть ті події, що вас цікавлять (зокрема, виконання процесу), і зберігатимуть ці низькорівневі події в базі даних.

Як уже згадувалося, зберігання даних про низькорівневі події суттєво залежить від того, які події виявляються. Це означає, що зменшення кількості ввімкнених правил призведе до зменшення обсягу даних, які зберігаються (доступні для розслідування та ретроспективного пошуку). Це слід враховувати, якщо ви знижуєте рівень параметрів збору даних і одночасно вимикаєте певні правила.

Наприклад, якщо вибрати параметр "Зберігати лише дані, безпосередньо пов’язані з виявленими об’єктами" й вимкнути всі правила, це призведе до того, що дані взагалі не зберігатимуться, а отже, продукт не працюватиме належним чином.

Зберігати найважливіші дані / Зберігати лише дані, безпосередньо пов’язані з виявленими об’єктами

Деякі функції обмежено:

•Подання подій

•Агреговане подання подій

•Фонові завдання

•Подання сценаріїв

•Пошук

Мета полягає в тому, щоб контролювати розмір бази даних. Користувач вибирає певний баланс між розміром бази даних і деякими розширеними параметрами.

Для ІТ-адміністраторів рекомендовано використовувати параметр Зберігати лише дані, безпосередньо пов’язані з виявленими об’єктами.

Щоб змінити категорії даних, які зберігаються в базі даних, у розділі "Колекція бази даних" виберіть Адміністратор > Параметри сервера.

Збереження даних

Виберіть час, протягом якого дані зберігатимуться в базі даних Що довше період, то більшою за розміром буде база даних на момент очищення старих даних.

Виберіть період, протягом якого потрібно зберігати дані в базі даних. За замовчуванням задано період три місяці.

Виберіть період, протягом якого потрібно зберігати низькорівневі дані в базі даних. За замовчуванням задано період один місяць. Дані низького рівня становлять більшу частину розміру бази даних, тому вони мають бути якомога коротшими. Це обмежує лише детальне дослідження даних, які не були визначені продуктом як підозрілі після видалення.

Щоб змінити цей параметр, у розділі "Очищення бази даних" виберіть Адміністратор > Параметри сервера.

ESET Inspect Connector збирає таку інформацію:

•запуск і завершення процесу, який виконується на робочій станції (зокрема, метадані таких виконуваних файлів);

•динамічне завантаження бібліотек і динамічне завантаження драйверів (зокрема, метадані таких бібліотек і драйверів);

•події під час збереження виконуваних файлів на диск;

•модифікація файлів (зокрема, будь-яких файлів, які є на диску);

•події, коли користувач або процес відкриває файл (що важливо з точки зору безпеки) або отримує до нього доступ (наприклад, файли з інформацією про пароль, які використовується популярними веб-браузерами);

•унесення змін до розділів реєстру;

•мережеві підключення

•будь-які включення коду в будь-які запущені процеси;

•створення іменованих каналів;

•створення користувачів і груп;

•сеанси входу користувачів.

•Виконання й запити WMI

•додані заплановані завдання Windows і інстальовані служби.

˄˅