5 ответов в этой теме

[Catmas]

Добрый день. Из вышестоящих органов периодически приходят письма с текстом: 

"... Кроме того, необходимо осуществить настройку правил системы мониторинга событий информационной безопасности (при ее наличии) путем внесения в правила корреляции событий следующих индикаторов компрометации (sha256):

1df0fa30eb61e17da4955dd32d7b7bdbd2c58cbf4495fae067974b54ada89289;

81ff65efc4487853bdb4625559e69ab44f19e0f5efbd6d5b2af5e3ab267c8e06.

..."

 

Есть ли в Dr.Web модуль индикаторов компрометации, куда можно заносить эти хеши? Пытался найт его в Центре управления антивирусной сетью Dr.Web, но не нашел. 

[Kirill Polubelov]

Добрый день.

Это лучше у вышестоящих органов уточнять,

куда именно они индикаторы предлагают вносить.

Вполне возможно, что они ведут речь про какие то SIEM. В которые, в свою очередь, DrWeb может слать некоторое множество событий.

Есть у ДрВеб места куда хэши можно и непосредственно внести, но делать это, без чёткого понимания —  не стоит.

[B.Chugunov]

Для этого можно использовать функционал компонента Контроль приложений. Подробнее:

https://download.geo.drweb.com/pub/drweb/esuite/13.0.1/documentation/html/ru/admin_manual/application_control.htm

Данный компонент позволяет запретить запуск исполняемых файлов по различным критериям.

- нужно создать Профиль контроля приложений (https://download.geo.drweb.com/pub/drweb/esuite/13.0.1/documentation/html/ru/admin_manual/application_control_profiles.htm);

- в профиле задать запрещающие правила с использованием хэша файла (https://download.geo.drweb.com/pub/drweb/esuite/13.0.1/documentation/html/ru/admin_manual/application_control_profiles_deny_mode.htm);

- назначить профиль на группу станций или станцию (https://download.geo.drweb.com/pub/drweb/esuite/13.0.1/documentation/html/ru/admin_manual/application_control_profiles_add.htm);

- отслеживать реакцию можно в разделе События контроля приложений - https://download.geo.drweb.com/pub/drweb/esuite/13.0.1/documentation/html/ru/admin_manual/application_control_events.htm
При этом в настройках Агента Dr.Web должна быть включена опция "Отслеживать события Контроля приложений". Иначе агент просто не будет передавать их на сервер. 
Кроме того в настройках сервера - Администрирование - Конфигурация сервера Dr.Web - Статистика - должно быть включено "Статистика Контроля приложений по блокировке процессов". Дополнительное включение настройки "Статистика Контроля приложений по активности процессов" в том же разделе может создать доп нагрузку на сервер и его БД, раздувая её размер. Так что не стоит ее включать без прямой необходимости, либо отключить, пока не потребуется, если она включена. 
Дальше уже можно вникать в работу самого компонента, пробовать что-то блокировать на какой-нибудь тестовой станции, распространив на нее профиль. Как будет все плюс минус понятно, приступать к распространению профиля на боевые машины и созданию запрещающих правил с нужными хэшами. 
В одном правиле можно задавать сразу несколько хэшей. В текущей реализации - только через запятую. В правиле возможно использование SHA-1 и SHA-256 хэшей файлов(хоть настройка и называется "Совпадение по хешу исполняемого файла (SHA-256)"). Не путать с настройкой "Отпечаток сертификата приложения (SHA-1)" - это про другое. Количество правил в профиле не ограничено. В рамках одного правила количество хэшей технически тоже не ограничено, но физические ограничения могут наступить в самой системе, например в реестре, куда эти настройки загрузятся. Отсюда мы обычно не рекомендуем указывать сразу все 100500 поступивших от регулятора хэшей в одном единственном правиле, через запятую. Это и контролировать будет тяжело, и потенциально может просто не влезть в реестр конечной станции на одну запись. Вполне достаточно по 2,5,10,20 хэшей в одном правиле задавать. В идеале вообще 1 правило - 1 запись. Если хэшей не много поступает, так и стоит делать. 

[Afalin]

При этом в настройках Агента Dr.Web должна быть включена опция "Отслеживать события Контроля приложений". Иначе агент просто не будет передавать их на сервер.

Неочевидно, к чему это относится, потому уточню, что тут речь о разрешённых (т.е. не заблокированных) попытках запуска процессов или иных контролируемых действиях.

[Catmas]

B.Chugunov, большое спасибо!   Это то что нужно.

[Konstantin Yudin]

блокировать вроде как не просят, достаточно аудит режима. в журнале будут нужные псевдо блокировки, по имени профиля можно четко понять что это мониторинг IOC.