Перейти к содержимому


Фото
- - - - -

Описание БД


  • Please log in to reply
19 ответов в этой теме

#1 Cornel

Cornel

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 02 Апрель 2020 - 18:42

Добрый день!

  Существует необходимость отслеживания событий, генерируемых Dr. Web ES, непосредственно из БД. Существующая документация довольно подробно описывает структуру БД, но есть некоторые поля, значения которых не разъяснено. Документация ссылается на другую документацию которую, к сожалению, найти не удалось. В частности, интересуют значения  значения ключей для следующих полей:

 

1. Таблица station_infection
  type1
  type2
  treatment
  originator


2. Таблица station_quarantine
  component

 

Помогите, пожалуйста, найти справочники по ним, так как числовые значения, к сожалению, не несут никакой информационной нагрузки.

Спасибо!

 

P.S. Если значения мультиязыковые, подойдет только английский вариант.



#2 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 835 Сообщений:

Отправлено 03 Апрель 2020 - 10:11

С station_infection.originator и station_quarantine.component проще всего, в луа-консоли

require 'app-list'
return app_list

Названия не самые красивые, но догадаться можно.

Остальные константы наружу вытащить можно менее красивыми способами, типа

bin/drwar e vfs/auto/modules.dar /path/to/directory, где открыть stat_reports/errorscode.ds и найти там кучу констант. Первая пачка – treatment, вторая (1-9) – type2, третья (-1-5) – type1.


Семь раз отрежь – один раз проверь

#3 Cornel

Cornel

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 03 Апрель 2020 - 11:21

С station_infection.originator и station_quarantine.component проще всего, в луа-консоли

require 'app-list'
return app_list

Названия не самые красивые, но догадаться можно.

Остальные константы наружу вытащить можно менее красивыми способами, типа

bin/drwar e vfs/auto/modules.dar /path/to/directory, где открыть stat_reports/errorscode.ds и найти там кучу констант. Первая пачка – treatment, вторая (1-9) – type2, третья (-1-5) – type1.

Спасибо!



#4 Kirill Polubelov

Kirill Polubelov

    Hr. Schreibikus

  • Dr.Web Staff
  • 4 351 Сообщений:

Отправлено 03 Апрель 2020 - 11:23

Существующая документация довольно подробно описывает структуру БД

Альтернативный бесплатный вариант, который, возможно, покажется более удобным, если вы что-то кодите: C:\Program Files\DrWeb Server\etc\init.sql


(exit 0)

#5 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 835 Сообщений:

Отправлено 03 Апрель 2020 - 11:43

Существующая документация довольно подробно описывает структуру БД

Альтернативный бесплатный вариант, который, возможно, покажется более удобным, если вы что-то кодите: C:\Program Files\DrWeb Server\etc\init.sql

Имхо, он удобнее только тем, кто к нему уже привык. И то, его должны были выпилить из дистрибутива уже.

Остальным надо ещё раскуривать, что там закодировано. Ибо там всё те же метаданные, по которым уже на ходу строится схема БД.


Семь раз отрежь – один раз проверь

#6 Eugeny Gladkih

Eugeny Gladkih

    the Spirit of the Enlightenment

  • Dr.Web Staff
  • 5 295 Сообщений:

Отправлено 03 Апрель 2020 - 14:10

treatment, вторая (1-9) – type2, третья (-1-5) – type1.

 

да не много толку от  них. все там не просто



#7 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 835 Сообщений:

Отправлено 03 Апрель 2020 - 15:01

да не много толку от  них. все там не просто

Конкретно сейчас бóльшую часть, если не все случаи, эти значения покрывают. Остальное там толком же не используется ещё.


Сообщение было изменено Afalin: 03 Апрель 2020 - 15:02

Семь раз отрежь – один раз проверь

#8 Cornel

Cornel

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 20 Апрель 2020 - 13:49

Добрый день!

Существует ли возможность продлить демо версию продукта еще, скажем, на 30 дней?



#9 Cornel

Cornel

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 20 Апрель 2020 - 14:32

Можно ли имитировать какие-то действия чтобы компонент Превентивная защита что-то записал в таблицу

  station_hips_event?



#10 SergSG

SergSG

    The Master

  • Posters
  • 14 425 Сообщений:

Отправлено 21 Апрель 2020 - 00:52

Можно попробовать запретить изменения Hosts, а потом попробовать его изменить. Превентивка должна на это сработать и радостно отрапортовать.



#11 Cornel

Cornel

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 22 Апрель 2020 - 16:55

Можно попробовать запретить изменения Hosts, а потом попробовать его изменить. Превентивка должна на это сработать и радостно отрапортовать.

Спасибо, получилось!



#12 Cornel

Cornel

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 22 Апрель 2020 - 17:47

Может что-то подобное можно сделать и для событий "Контроля приложений"

  appctl_bases?



#13 SergSG

SergSG

    The Master

  • Posters
  • 14 425 Сообщений:

Отправлено 22 Апрель 2020 - 18:19

Может что-то подобное можно сделать и для событий "Контроля приложений"

  appctl_bases?

Я вяло представляю себе эту фичу, но, с большой долей вероятности, логика та же - запрещаете, а потом пробуете выполнить.


Сообщение было изменено SergSG: 22 Апрель 2020 - 18:20


#14 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 835 Сообщений:

Отправлено 23 Апрель 2020 - 09:20

Всё верно. Запретить что-то конкретное и это что-то запустить.

Кстати, а какова конечная цель этих упражнений?


Семь раз отрежь – один раз проверь

#15 Cornel

Cornel

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 23 Апрель 2020 - 19:00

 

Может что-то подобное можно сделать и для событий "Контроля приложений"

  appctl_bases?

Я вяло представляю себе эту фичу, но, с большой долей вероятности, логика та же - запрещаете, а потом пробуете выполнить.

 

Спасибо! В итоге настроил профили (не находятся интуитивно), что-то в них запретить и привязать к определенному хосту.



#16 Cornel

Cornel

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 23 Апрель 2020 - 19:08

Всё верно. Запретить что-то конкретное и это что-то запустить.

Кстати, а какова конечная цель этих упражнений?

Будет разработан коннектор в рамках SIEM

  https://searchinform.ru/products/siem/



#17 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 835 Сообщений:

Отправлено 23 Апрель 2020 - 19:18

Всё верно. Запретить что-то конкретное и это что-то запустить.

Кстати, а какова конечная цель этих упражнений?

Будет разработан коннектор в рамках SIEM

  https://searchinform.ru/products/siem/

Это уже интереснее. Вы аккумулируете там только факты инцидентов, без разделения их по каким-то категориям?

Я к чему. Срабатывания ав-движка, превентивки или апп. контрола могут быть десятков разных видов. Допустим, превентивка кроме hosts может говорить про подмену шелла, запуски энкодеров, инжекты, детекты эксплойтов (которых в свою очередь тоже пачка разных) и т.д.

Допустим, разработчики другой SIEM копают каждое событие вплоть до значений всех числовых кодов.


Семь раз отрежь – один раз проверь

#18 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 835 Сообщений:

Отправлено 23 Апрель 2020 - 19:20

И вот где, кстати, самая засада – это записи аудита.

 

И ещё вопрос – а SNMP оно умеет? Принципиально не используете? Там должно немного попроще, мне кажется, если собирать детекта со станций, но не собирать тот же аудит.


Семь раз отрежь – один раз проверь

#19 Cornel

Cornel

    Newbie

  • Posters
  • 9 Сообщений:

Отправлено 24 Апрель 2020 - 08:43

И вот где, кстати, самая засада – это записи аудита.

 

И ещё вопрос – а SNMP оно умеет? Принципиально не используете? Там должно немного попроще, мне кажется, если собирать детекта со станций, но не собирать тот же аудит.

Не знаю, уместно ли писать о наших других коннекторах в данной ветке форума (есть snmp и не только), но насчет drweb, из того что нашли в открытых источниках и документировано, это rest api или БД.

Rest оказался весьма скуден, хотя изначально он был предпочтительней. В итоге Postgres, Oracle или MSSQL как источник данных.



#20 Afalin

Afalin

    Guru

  • Dr.Web Staff
  • 5 835 Сообщений:

Отправлено 27 Апрель 2020 - 18:15

Cornel, зайдите в личные сообщения, плз, если здесь окажетесь.


Семь раз отрежь – один раз проверь


Читают тему: 1

0 пользователей, 1 гостей, 0 скрытых