7 ответов в этой теме

[Catmas]

Добрый день. Из вышестоящих органов периодически приходят письма с текстом: 

"... Кроме того, необходимо осуществить настройку правил системы мониторинга событий информационной безопасности (при ее наличии) путем внесения в правила корреляции событий следующих индикаторов компрометации (sha256):

1df0fa30eb61e17da4955dd32d7b7bdbd2c58cbf4495fae067974b54ada89289;

81ff65efc4487853bdb4625559e69ab44f19e0f5efbd6d5b2af5e3ab267c8e06.

..."

 

Есть ли в Dr.Web модуль индикаторов компрометации, куда можно заносить эти хеши? Пытался найт его в Центре управления антивирусной сетью Dr.Web, но не нашел. 

[Kirill Polubelov]

Добрый день.

Это лучше у вышестоящих органов уточнять,

куда именно они индикаторы предлагают вносить.

Вполне возможно, что они ведут речь про какие то SIEM. В которые, в свою очередь, DrWeb может слать некоторое множество событий.

Есть у ДрВеб места куда хэши можно и непосредственно внести, но делать это, без чёткого понимания —  не стоит.

[B.Chugunov]

Для этого можно использовать функционал компонента Контроль приложений. Подробнее:

https://download.geo.drweb.com/pub/drweb/esuite/13.0.1/documentation/html/ru/admin_manual/application_control.htm

Данный компонент позволяет запретить запуск исполняемых файлов по различным критериям.

- нужно создать Профиль контроля приложений (https://download.geo.drweb.com/pub/drweb/esuite/13.0.1/documentation/html/ru/admin_manual/application_control_profiles.htm);

- в профиле задать запрещающие правила с использованием хэша файла (https://download.geo.drweb.com/pub/drweb/esuite/13.0.1/documentation/html/ru/admin_manual/application_control_profiles_deny_mode.htm);

- назначить профиль на группу станций или станцию (https://download.geo.drweb.com/pub/drweb/esuite/13.0.1/documentation/html/ru/admin_manual/application_control_profiles_add.htm);

- отслеживать реакцию можно в разделе События контроля приложений - https://download.geo.drweb.com/pub/drweb/esuite/13.0.1/documentation/html/ru/admin_manual/application_control_events.htm
При этом в настройках Агента Dr.Web должна быть включена опция "Отслеживать события Контроля приложений". Иначе агент просто не будет передавать их на сервер. 
Кроме того в настройках сервера - Администрирование - Конфигурация сервера Dr.Web - Статистика - должно быть включено "Статистика Контроля приложений по блокировке процессов". Дополнительное включение настройки "Статистика Контроля приложений по активности процессов" в том же разделе может создать доп нагрузку на сервер и его БД, раздувая её размер. Так что не стоит ее включать без прямой необходимости, либо отключить, пока не потребуется, если она включена. 
Дальше уже можно вникать в работу самого компонента, пробовать что-то блокировать на какой-нибудь тестовой станции, распространив на нее профиль. Как будет все плюс минус понятно, приступать к распространению профиля на боевые машины и созданию запрещающих правил с нужными хэшами. 
В одном правиле можно задавать сразу несколько хэшей. В текущей реализации - только через запятую. В правиле возможно использование SHA-1 и SHA-256 хэшей файлов(хоть настройка и называется "Совпадение по хешу исполняемого файла (SHA-256)"). Не путать с настройкой "Отпечаток сертификата приложения (SHA-1)" - это про другое. Количество правил в профиле не ограничено. В рамках одного правила количество хэшей технически тоже не ограничено, но физические ограничения могут наступить в самой системе, например в реестре, куда эти настройки загрузятся. Отсюда мы обычно не рекомендуем указывать сразу все 100500 поступивших от регулятора хэшей в одном единственном правиле, через запятую. Это и контролировать будет тяжело, и потенциально может просто не влезть в реестр конечной станции на одну запись. Вполне достаточно по 2,5,10,20 хэшей в одном правиле задавать. В идеале вообще 1 правило - 1 запись. Если хэшей не много поступает, так и стоит делать. 

[Afalin]

При этом в настройках Агента Dr.Web должна быть включена опция "Отслеживать события Контроля приложений". Иначе агент просто не будет передавать их на сервер.

Неочевидно, к чему это относится, потому уточню, что тут речь о разрешённых (т.е. не заблокированных) попытках запуска процессов или иных контролируемых действиях.

[Catmas]

B.Chugunov, большое спасибо!   Это то что нужно.

[Konstantin Yudin]

блокировать вроде как не просят, достаточно аудит режима. в журнале будут нужные псевдо блокировки, по имени профиля можно четко понять что это мониторинг IOC.

[ossia4]

Если это IOC от ФинЦЕРТ, то у DrWeb это называется "Известные хеши угроз".

Для их получения требуется модификация лицензии. Через техподдержку.

Было бесплатно.

"

Известные хеши угроз 21-10-2025 08:07:02 21-10-2025 08:07:02 Состояние продукта нормальное

"

[Afalin]

Но суть той функциональности несколько иная. Заключается она в том, что при наличии детекта (а не просто факта запуска) мы можем сообщить, что угроза проходит по списку IoC'ов ФинЦЕРТа. Но вот блокировками по этим спискам мы, тем не менее, не занимаемся (да и, емнип, там фолсов хватает, так что затея сама по себе сомнительная).