logo  
> новости      > услуги      > юридический ресурс      > где купить      > о компании
 
EnCase Enterprise
Automated IR Suite
 Модули Оборудование Neutrino

Документация:

Детальное описание продукта (PDF)

EnCase Enterprise дополнение к системе безопасности (PDF)

EnCase Enterprise для корпораций и крупных организаций (PDF)

Анализ соответствия EnCase Enterprise стандарту защиты информации PCI DSS (PDF)

Анализ структуры файлов с помощью EnCase Bit9 Analyzer (PDF)

Модуль для распознавания графических изображений LTU Finder (PDF)
Разделы:

Encase® Forensic

EnCase® Enterprise

FIM
Главная > EnCase® Enterprise > Пакет программ автоматического реагирования на события

EnCase® Enterprise Automated Incident Response Suite (AIRS) – Пакет программ автоматического реагирования на события.

Компания Guidance Software разработала продукт реагирования на события, интегрированный с системами выявления атак и верификаторами целостности системы для генерирования предупреждений об нарушениях политики безопасности предприятия и обеспечения реакции в режиме реальном времени. Система AIRS отфильтровывает ложные срабатывания и определяет действительно ли компьютер был взломан. После генерирования предупреждений делается снимок списка процессов, используемых компьютеров.

В случае выявления нарушения политики безопасности предприятия, автоматически делается серия снимков процессов сразу после происшествия, чтобы показать ход проведения атаки, выявить действительно ли произошёл взлом, его воздействие и происхождение. Объединение данных о событии систем выявления атак и данных собранных EnCase® SnapShot в режиме настоящего времени даёт специалистам по анализу безопасности и другим должностным лицам необходимую информацию для объективной оценки возникшего инцидента и его влияния.

  • Анализ происходящих в компьютерах процессов (до 30 000 компьютеров в час) позволит Вам понять, какие именно машины были подвержены несанкционированному доступу, какие машины являются уязвимыми для атак и где именно был начал взлом с точностью 100%.
  • Возможность открыть скрытые и восстановить удалённые файлы, найти и свести к нулю повторные попытки атак, идентифицировать и уничтожить скрытые/ нелегальные процессы и ловушки, используемые руткитами (программные средства, скрывающие последствия взлома, прячущие используемые злоумышленниками инструменты от антивирусного ПО).
  • Анализ и изучение большого количества компьютеров одновременно, без остановки работы сети на скорости, затмевающей конкурирующие аналоги.
  • Детализированное документирование инцидентов, позволяющее Вам обратиться к поставленным под угрозу системам и скорректировать их без угрозы бизнес процессам.
  • Положитесь на программное обеспечение, признанное легитимным судами всего мира. Благодаря своим многим преимуществам, программное обеспечение EnCase – это выбор правоохранительных органов всего мира как стандарта программного обеспечения для исследования компьютерных носителей информации и предоставления данных в суде.

IDS/SIM/CMS Анализаторы и Контроль
Анализаторы сети предупреждают об известных уязвимостях и конфигурациях представляющих опасность для сети. Опираясь на реакцию операционной системы, сканеры уязвимостей в сети распознают функционирующие процессы, приложения и конфигурации. Полученная в результате анализа операционных систем, уровней пакетов обновлений, функционирующих приложений или текущих процессов передачи данных информация может быть обманчивой или неточной. Системы выявления атак ищут события, отвечающие специфическим критериям, таким как тревога 1-го уровня или несанкционированное выполнение скрытого процесса с исходящим TCP соединением на каком-либо обозначенном порту. С инструментами контроля контента (ИКК) AIRS EnCase, возможно выполнить поиск незаконной информации, например, содержимого «только для взрослых», нарушения политики безопасности организации служащими или нарушения прав интеллектуальной собственности.

  • Поддержка систем IDS/SIM/CMS:
    • Intrusion Detection Systems ISS Site Protector, Snort
    • Content Monitoring Systems Vericept, Vontu
    • Security Information Management Arcsight
  • Multiple Database Support: AIRS can monitor IDS/SIM/CMS systems that run over the following databases: SQL Servers 2000/2005, My SQL, Oracle and PostGreSQL.

Конфигурация и фильтрование:EnCase, запрограммированный пользователем, отслеживает компоненты баз данных IDS/SIM/CMS на предмет выявления инцидентов. При обнаружении угрозы, EnCase при помощи функции SnapShot делает мгновенный «снимок» всех процессов и данных оперативной памяти компьютера являющегося источником предупреждения.

  • Каждое событие из IDS/SIM/CMS проходит 2 этапа сортировки для фильтрации ошибочного разрешения доступа к системе (изменяемое пользователем) и оценку реальной угрозы компьютеру.
  • Исследователь может в качестве части сортировки установить фильтры, реагирующие на специфические детали IDS событий, такие как:
    • Название предупреждения
    • Приоритет предупреждения
    • Источник времени предупреждения/ IP назначения
    • Источник/порт назначения
    • Название сенсора IDS
    • Адрес сенсора IDS
  • Для CMS событий пользователь может установить следующие фильтры:
    • Источник/порт назначения
    • Категория или название метода
    • Приоритет
    • Источник/счёт назначения

    Процесс реагирования на событие
    После сообщения тревоги начинается процесс реагирования на событие в режиме реального времени известный как «Snapshot» («Снимок процессов») для поиска и получения неустойчивых временных данных от машин-целей атаки и атакующих машин. Полностью восстановленные данные позволяют исследователям определить действительно ли были компьютеры подвержены угрозе атаки или были атакованы. В отличие от систем CMS, AIRS выполняет экспертную проверку данного случая в режиме реального времени.

    • Выполнятеся снимок процессов на компьютерах,где IDS/SIM/CMS сообщала о предупреждениях. Результаты Snapshot хранятся в базе данных AIRS.
    • Временные данные, собираемые Snapshot:
      • Открытые порты
      • Все активные процессы: известные, неизвестные и скрытые
      • Live Windows® Registry
      • Сервисы
      • Информация о сетевом соединении TCP
      • Пользователь, находящийся в системе и пользователи, зарегистрированные на компьютере
      • Могут быть добавлены дополнительные данные с модулями (драйвер устройства, открытые файлы, сетевые карты и т.д.)
      В зависимости от степени важности события, определенной системой выявления атак и начальной сортировкой, EnCase автоматически выполняет серию снимков процессов с временными интервалами и использует данные системы Snapshots для предоставления Вам полной информации о точном воздействии атаки на один или несколько компьютеров. Пассивный «агент» программы EnCase, «Servlet», может быть использован на компьютерах которые попали в число атакованных, но ещё не имеют установленного агента, таким образом можно назначить агенту приоритет в режиме автоматической работы.

    Анализ события, основанный на web-технологии
    Генератор отчётов AIRS Web Reporter это веб-приложение, предоставляющее исследователям интерфейс, основанный на интернет-технологиях, дающий в режиме реального времени четкое изображение всесторонней информации по реакции на событие. Пользователям необходим только браузер.

    • Исследователям предоставлены следующие возможности:
      • Информацию о пользователе, находящемся в системе
      • Название компьютера
      • Название операционной системы
      • Список выполняемых процессов
      • ID процесса, сведения о командной строке используемой для выполнения процесса, пути исполнения, времени запуска, значения хэш-функции MD5
      • Сведение о том- является ли процесс скрытым
      • Список всех сделанных снимков Для каждой индивидуальной цели делается список сделанных снимков.
    • Обзор IDS/CMS информации по событиям путём запроса IDS/CMS системы. Благодаря удобному интерфейсу пользователю не нужно переключаться вперёд-назад между системой предупреждения и AIRS во время исследований.
    • Обзор списка условий IDS/CMS, созданных и использованных при фильтрации событий.

    Создание отчёта
    Позволяет пользователю создавать в форматах HTML и Excel отчёты, связанные с Snapshot и, при необходимости, отправлять их по электронной почте.

    • Генератор отчетов EnCase даёт аналитикам возможность создания точных и понятных HTML или Excel отчётов, основанных на данных Snapshot. Также присутствует определённое количество предварительно сконфигурированных отчётов для помощи в сужении круга необходимой информации, имеющей отношение к определённым типам предупреждений.
    • Интерфейс генератора отчётов AIRS Web Reporter также позволяет создавать отчёты, суммирующие обнаруженные скрытые процессы и обеспечивать отчёты по IDS и CMS событиям. .

    Администрирование
    Администрирование базы данных AIRS: данный компонент позволяет пользователю создавать базу данных AIRS, которая используется для хранения результатов исследования. Так же предоставляет функции поддержки, такие как автоматическое конфигурирование, периодическая чистка старых отчётов или выполнение одноразовой чистки отчётов, датированных позже установленной даты.

    Администрирование Web доступа: генератор отчётов AIRS Web Reporter предоставляет интерфейс администратора, где администратор AIRS может создавать пользователей и группы. В качестве контроля безопасности по приоритету групп позволяет ограничить исследователей таким образом, чтобы они могли иметь доступ к результатам только указанных диапазонов IP. Также интерфейс предоставляет возможность установить соединение с базами данных AIRS и IDS/SIM/CMS.
 
  © 2008 Представительство Guidance Software в СНГ и странах Балтии.