• Start
  • Baza wiedzy
    • Baza wiedzy PL
    • Baza wiedzy ENG
    • Webinaria
    • FAQ
  • Forum
    • Forum użytkowników
    • Rejestracja
    • Odzyskaj hasło
  • NewsRoom
  • Nasze usługi
    • Pakiety techniczne
  • O nas
    • Comodo-Polska
    • Kontakt
  • Mapa integratorów
  • Start
  • Baza wiedzy
    • Baza wiedzy PL
    • Baza wiedzy ENG
    • Webinaria
    • FAQ
  • Forum
    • Forum użytkowników
    • Rejestracja
    • Odzyskaj hasło
  • NewsRoom
  • Nasze usługi
    • Pakiety techniczne
  • O nas
    • Comodo-Polska
    • Kontakt
  • Mapa integratorów

Baza Wiedzy

home/Documentation/Baza Wiedzy
popularne wyniki:demo Itarian, wyjątki do programów , aktywacja klucza
Rozwiń wszystko Zwiń wszystko
  •  Xcitium Platform – Podręcznik
    •   Dashboards
      • Service
      • Endpoint
      • Audit
      • Compliance
      • Xcitium Verdict Cloud
      • Reports
      • Notifications
      • Audit Logs
    •   Security
      •   Endpoint Security
        •   Alerts
          • Alert Search
          • Hash View
          • Device View
          • Alert Policy
          • Suppression Rules
        •   Investigate
          • Event Search
          • Hash Search
          • Device Search
          • Android Threat History
        • Firewall Events
    •   Assets
      •   Devices
        •   Device List
          • Group Management
          • Device Management
        • Bulk Installation Package
      •   User Management
        • User List
        • User Groups
        • Role Management
      •   Configuration Templates
        •   Profiles
          • Profil Android
          • Profil iOS
          • Profil macOS
          •   Profil Windows
            • General
            • Associated Devices
            • Remote Control
            • UI Settings
            • Clients Proxy
            • Client Access Control
            • Remote Tools
            • Monitors
            • Procedures
            • Maintenance Window
            • Global Proxy
            • Antivirus
            • Firewall
            • HIPS
            • Containment
            • VirusScope
            • External Devices Control
            • Miscellaneous
            • Data Loss Prevention
            • Performance
            • Updates
            • Thumbnails
            • Chat
          • Profil Linux
        • Alerts
        •   Procedures
          • Windows Script Procedure
          • Windows Patch Procedure
          • Windows 3rd Party Patch Procedure
          • macOS Script Procedure
        • Monitors
        •   Data Loss Prevention
          • Discovery Rule
          • Monitoring Rule
    •   Software Inventory
      • Mobile Applications
      • Patch Management
      • Global Software Inventory
      • Vulnerability Management
    •   Management
      • Customers
      • Account Details
      •   License Management
        • Bill Forecast
        • Licenses
        • License Allocations
        • [Details]
    •   Settings
      •   System Templates
        • Registry Variables
        • COM Variables
        • File Groups Variables
      •   Portal Setup
        • Active Directory
        •   Client Settings
          • Android
          • macOS / iOS
          • Windows
        • Extensions Management
        • Reports
        • Device Removal Settings
        • Account Security
      •   Data Protection Templates
        • Patterns
        • Static Keywords
      • Support
  •  Xcitium Platform – Poradnik
    •   1. Pierwsze kroki
      • 1.1. Aktywacja konsoli zarządzającej
      • 1.2. Proces licencjonowania
      •   1.3. Wdrożenie urządzenia
        • 1.3.1. Windows
        • 1.3.2. Linux
        • 1.3.3. macOS
        • 1.3.4. iOS
        • 1.3.5. Android
      • 1.4. Bezpłatny i płatny zakres używania produktu.
      • 1.5. Zapewnienie bezproblemowej komunikacji.
    •   2. Użytkowanie Xcitium
      • 2.1. Blokady i wyjątki dla urządzeń zewnętrznych.
      •   2.2. Podsystemy bezpieczeńtswa
        • 2.2.1. Firewall
        • 2.2.2. HIPS
        • 2.2.3. Antivirus
        • 2.2.4. Containment
    •   3. Instrukcje zaawansowane
      • 3.1. Migracja urządzenia
      • 3.2. EDR
    •   4. Inne/Pozostałe
      • 4.1. Pakiety dodatkowe Xcitium
      • 4.2. Problemy z logowaniem.
      • 4.3. Opcjonalny pakiet MDR
      •   4.10. Wyjątki (starsze przykłady)
        • [EM] Wykluczenie wtyczki Roboform w HIPS
        • [EM] Wykluczenie programu Szafir - opcja nowa
        • [EM] Dodanie do wyjątku tworzenie Veeam Create Recovery Media
        • [EM] Dodanie wyjątku do programu SOWA
        • [EM] Dodawanie wyjątków do Firewall'a
        • [EM] Wyjątek do agenta pocztowego Outlook
        • [EM] Dodanie do wyjątków pliki PDF uruchamiane z poczty
        • [EM] Dodawanie wyjątków do automatycznej piaskownicy w konsoli
        • [EM] Dodawanie szybkich wyjątków
        • [EM] Wyjątek dla aplikacji WAPRO by Asseco
        • [EM] Wyjątek dla pakietu Office Starter
        • [EM] Tworzenie wykluczeń Sandbox / HIPS / Antywirus / Firewall
        • [EM] Wykluczenie programu Płatnik
    •   Weryfikacja dwuetapowa
      • 2FA Przez SMS
  •  Podręcznik Comodo (do aktualizacji na Xcitium)
    •   Comodo - Podręcznik
      •   Comodo cWatch MDR
        • [MDR] Zakup licencji
        • [MDR] Ekran główny
        • [MDR] Logowanie do konsoli administratora
        • [MDR] Wprowadzenie
      •   Comodo Secure Internet Gateway
        • [SIG] Wprowadzenie
        • [SIG] Porty oraz DNS - dla agenta SIG
        • [SIG] Wstępna konfiguracja modułu
        • [SIG] Dodawanie stron do białej / czarnej listy oraz komunikatu
        • [SIG] Dodawanie sieci - dodawanie nowych sieci
        • [SIG] Modyfikowanie zasad bezpieczeństwa
        • [SIG] Zmiana blokowanych kategorii stron
      •   Comodo CRM
        • [CRM] Jak dodawać okazję biznesową / projekt sprzedażowy
        • [CRM] Opis interfejsu okazji biznesowej / projektu sprzedażowego w Comodo One / ITarian
        • Comodo CRM - Omówienie
        • [CRM] Zarządzaj kampaniami marketingowymi
        • [CRM] Rozwiązanie problemu z dostępem
      •   Comodo Quote Manager
        • [QM] Wprowadzenie
      •   Comodo Secure Email Gateway
        • [CSEG MSP] Wprowadzenie
        • [CSEG MSP] - Zakup licencji
        • [CSEG MSP] Konsola administratora
        • [CSEG MSP] Logowanie do konsoli administratora
        • [CSEG MSP] Początek konfiguracji
        • [CSEG MSP] Konfiguracja filtrowania poczty przychodzącej
        • [CSEG MSP] Konfiguracja filtrowania poczty wychodzącej
      •   Comodo Secure Web Gateway
        • [SWG] Wprowadzenie
        • [SWG] Zakup licencji
        • [SWG] Logowanie
        •   [SWG] Konfiguracja przekierowania ruchu
          • [SWG] Przekazywanie ruchu przez Direct Proxy lub PAC
          • [SWG] Przekierowanie ruchu za pomocą łańcucha Proxy
          • [SWG] Przekierowanie ruchu za pomocą protokołu ICAP
          • [SWG] Przekierowanie ruchu za pośrednictwem agenta SWG
        • [SWG] Łączenie z siecią Comodo SWG
        • [SWG] Podłączanie urządzeń roamingowych
        • [SWG] Konfiguracja ustawień uwierzytelniania użytkownika
        • [SWG] Dodawanie użytkowników
        • [SWG] Tworzenie polityk
        • [SWG] Stosowanie polityk bezpieczeństwa
        • [SWG] Generowanie raportów
      •   Comodo Technology Assessment Platform
        • [TAP] Wprowadzenie
        • [TAP] Logowanie
        • [TAP] Dostosowanie kwestionariusza
        • [TAP] Tworzenie kwestionariusza
        • [TAP] Wypełnienie kwestionariusza
        • [TAP] Raporty
      •   Comodo Internet Securiy (CIS)
        • [CIS] Instalacja i aktywacja
        • [CIS] Aktywacja klucza licencyjnego
        • [CIS] Opis obsługi po stronie stacji roboczej
    •   Xcitium Platform - Poradnik
      • # Instalacja pakietów / Wdrażanie urządzeń poprzez ADDT
      • # Tworzenie raportów w konsoli
      •   # 2FA
        • [ITSM] Wyłączenie dwustopniowej weryfikacji 2FA
        • [ITSM] Brak telefonu - Resetowanie dwustopniowej weryfikacji 2FA
        • [ITSM] Wyłączenie i resetowanie 2FA dla administratora dodanego przez głównego Admina
      •   # Rozwiązywanie problemów
        • [CCC] Rozwiązanie problemu przy ponownej instalacji Agenta Komunikacji
        • [EM] Migracja urządzeń do innej konsoli EM
        • [CCC+CCS] Rozwiązanie niemożności instalacji CCC + CCS na systemie Windows 7
        • [ADDT] Wymagania Auto Discovery and Deployment Tool
        • [EM] Eksport profilu
        • [ITSM] Zmiana adresu email głównego konta Comodo One / ITarian (Account Admina)
        • [EM] Ręczne aktualizowanie baz sygnatur antywirusa CCS
        • [AEP] Awaryjne narzędzie do odinstalowania antywirusa
        • Brak dostępu do strony rejestrującej nasz nowy klucz licencyjny
        • [EM] Usuwanie ręczne starych i nadmiarowych urządzeń z CCS
        • [AEP] Comodo Uninstaller Tool - narzędzie dezinstalacyjne antywirusa CCS
        • [EM] Jak zdobyć bezpośredni adres URL do konsoli Endpoint Manager
      • # Tworzenie administratora z dostępem do określonej grupy/określanie dostępu do grup
      •   # O produkcie
        • Prezentacja rozwiązania Comodo AEP / ITSM
        • Prezentacja konsoli Comodo MDM
        • Język polski w konsoli Comodo ITSM
        • Comodo ITSM - cechy produktu Endpoint Manager
      • # Rejestracja darmowej wersji 30 dniowej konsoli Xcitium
    •   Xcitium Platform - Podręcznik
      •   APLIKACJE
        •   Endpoint Manager
          •   PANEL STEROWANIA
            • [EM] Inwentaryzacja sprzętu
            • [EM] Labolatorium Comodo AEP – Valkyrie
            • [EM] Logi audytowe
          •   URZĄDZENIA
            •   Instalacja
              • [EM] Instalacja MDM na systemie iOS
              • [EM] Instalacja na systemie z jądrem Linux
              • [EM] Instalacja na systemie Mac OS X
              • [EM] Wdrażanie za pomocą instalatora
              • [EM] Instalacja Comodo za pomocą paczki MSI
              • [EM] Pozyskanie nazwy hosta portu i tokena
              • [EM] Instalacja CCS + CCC na systemie MacOS bez certyfikatu APN
              • [EM] Instalacja dodatkowych pakietów Comodo
              • [EM] Wdrażanie Comodo poprzez Active Directory
              • [EM] Wdrażanie Comodo poprzez sieć lokalną
              • [EM] Wdrażanie Comodo poprzez grupę roboczą
            •   Dezinstalacja
              • [EM] Deinstalacja Comodo Client Security z urządzeń MAC OS X
              • [EM] Ręczna dezinstalacja agenta komunikacji Linux
              • [EM] Usuwanie skryptem antywirusa innego producenta (na przykładzie Eseta)
            • [EM] Instalacja niestandardowych paczek MSI na urządzeniach Windows
            • [EM] Korzystanie ze zdalnego pulpitu Comodo RC
            • [EM] Przenoszenie urządzeń do innej firmy w konsoli
            • [EM] Zarządzanie urządzeniami mobilnymi MDM
            • [EM] Jak połączyć różne urządzenia w tym samym czasie przy użyciu Zdalnej Kontroli z Serwerem RDS
          •   UŻYTKOWNICY
            • Comodo ITSM - Zdalny pulpit i przesył plików dla pracowników
            • [EM] Importowanie użytkowników wraz z rolami
            • [EM] Dodawanie administratorów konsolowych oraz tworzenie i zarządzanie ich rolami
          •   SZABLONY KONFIGURACJI
            •   Profile
              • [EM] Profil Windows - Agent Discovery Settings
              • [EM] Profil Windows - Analiza skryptu
              • [EM] Wyłączenie filtrowania witryn internetowych w profilu
              • [EM] Profil - Xcitium Verdict Cloud
            •   Zapobieganie utracie danych
              • [EM] Blokowanie zewnętrznych pamięci masowych
              • [EM] Ochrona przed wyciekiem danych Data Loss Prevention
          •   ZARZĄDZANIE SIECIĄ
            • [EM] Zarządzanie siecią
          •   PODSYSTEMY BEZPIECZEŃSTWA
            • Weryfikacja potencjalnych zagrożeń w Valkyrie
          •   USTAWIENIA
            • [EM] Integracja Apple DEP z konsolą Endpoint Manager
            • [EM] Interwały czasowe zmian wprowadzanych na urządzeniach
            • Certyfikat APNs dla systemu iOS oraz MacOS
          • [EM] Blokowanie użytkownikowi systemu Windows dostępu do komputera
          •   # Konfiguracja
            • [AEP/ITSM] Aktywacja zarejestrowanego klucza AEP w konsoli Endpoint Manager
            • [EM] Pełne wdrożenie krok po kroku wersji testowej ITSM Comodo One / ITarian / Dragon
            • [AEP/ITSM] Rejestracja i aktywacja klucza oraz konsoli po zakupie
            • Co Comodo blokuje / wirtualizuje czyli Dzienniki Zdarzeń (dodawanie wyjątków)
            • [CCS] Wirtualny Pulpit
            • Migracja z konsoli Itarian do konsoli Dragon
            • [EM] Dodawanie dodatkowych firm, oddziałów do konsoli ITSM (MSP)
            • [EM] Dostęp zdalny przez użytkowników (nie administratorów)
            • Active Directory-[GPO]
            • [CCS]Ręczna aktualizacja sygnatur
          • Patch Management
          •   _tmp|inne|
            • [EM] Reguły zapobiegania utracie danych
            • [EM] Wykluczenie programu Szafir - Contaimnent i HIPS
        • Secure Internet Gateway
        • CRM
        • Quote Manager
        • Secure Email Gateway
        •   SOCaaP
          • [SOCaaP] Najczęściej zadawane pytania
          • [SOCaaP] Logowanie do konsoli
          • [SOCaaP] Dashboard
          • [SOCaaP] SIEM
          • [SOCaaP] Instalacja czujników
          • [SOCaaP] Wprowadzenie
        • Secure Web Gateway
        • Technology Assessment Platform
        •   Service Desk
          • [SD] Wprowadzenie
          • [SD] Wstępna konfiguracja / integracja e-mail
        • Wszystkie Aplikacje
      •   SKLEP
        • Aplikacje panelu Comodo One / ITarian / Dragon
        • [ITSM] Porównanie aplikacji dla wersji Enterprise i MSP
      •   NARZĘDZIA
        • [ITSM] Narzędzia serwisowe

Alert Policy

73 Wyświetleń 0

Polityka ostrzeżeń jest zbiorem reguł wyróżniających spośród wszystkich zdarzeń te, które zamierzamy oznaczyć stosownymi ostrzeżeniami (alertami).

Producent udostępnia politykę domyślną (Xcitium Predefined Policy), bez możliwości edycji oraz narzędzie do definiowania własnej polityki.
Aby zdefiniować politykę, wybieramy opcję [+Create Policy], wpisujemy jej nazwę własną i naciskamy Enter.

Każdy klient, może w danej chwili korzystać z dokładnie jednej polityki ostrzeżeń. Wybraną politykę uruchamiamy przyciskiem [Activate].

Events

Polityka alertów, podzielona jest na 8 sekcji dotyczących różnych zdarzeń, na które EDR ma docelowo reagować:

 – Process Events – reguły powiadamiające o wywołaniu procesów przez aplikację. Przewiduje 1 typ zdarzenia:
 —— Create Process – uruchomienie nowego procesu.

 – Registry Events – reguły powiadamiające o zmianach w rejestrze systemu Windows w punktach końcowych. Przewidują 3 typy zdarzeń:
 —— Delete Registry Key – usunięcie klucza z rejestru.
 —— Delete Registry Value – usunięcie wartości klucza.
 —— Set Registry Value – zwiana wartości klucza w rejestrze.

 – File Events – reguły powiadamiające o modyfikacjach plików systemowych. Przewidują 2 typy zdarzeń:
 —— Write File – utworzenie lub zmiana zawartości pliku.
 —— Delete File – usunięcie pliku.

 – Security Events – reguły powiadamiające o działaniu innych podsystemów bezpieczeństwa:
 —— Antivirus – silnik antywirusowy
 —— Containment – lokalny sandbox
 —— Application Control – kontrola aplikacji
 —— Autoruns Control – kontrola autostartu
 —— Virtual Desktop – działanie wirtualnego pulpitu (zwirtualizowanej instancji systemu).

  – Download Events – reguły powiadamiające o pobieraniu plików za pośrednictwem przeglądarek, wiadomości e-mail, folderów udostępnionych lub dysków zewnętrznych. Przewidują 3 typy zdarzeń:
 —— File Copy from Shared Folder – skopiowanie pliku z folderu współdzielonego.
 —— File Copy from USB Disk – skopiowanie pliku z dysku USB.
 —— Email Download – pobranie poczty elektronicznej.

 – Upload Events – reguły powiadamiające o przesyłaniu plików do folderów udostępnionych lub na dyski zewnętrzne. Przewidują 2 typy zdarzeń:
 —— File Copy to Shared Folder – skopiowanie pliku do folderu współdzielonego.
 —— File Copy to USB Disk – skopiowanie pliku na dysk USB.

 – Defense+ Events – reguły powiadamiające o próbach uzyskania dostępu do krytycznych funkcji systemu operacyjnego lub przeprowadzenia ataków. Przewidują 8 typów zdarzeń:
 —— Access Raw Disk – niskopoziomowy dostęp do dysku.
 —— Access Keyboard – dostęp do klawiatury.
 —— Access Screen – dostęp do ekranu.
 —— Set Windows Hook – ustawienie systemowego punktu zaczepienia (użycie mechanizmu przechwytywania zdarzeń).
 —— Virtual Memory Access – dostęp do pamięci wirtualnej,
 —— Access Microphone – dostęp do mikrofonu.
 —— Code Injection – wstrzyknięcie (potencjalnie złośliwego) kodu.
 —— Open Process – otwarcie procesu.

 – Network Events – reguły powiadamiające o wszelkich usługach nasłuchujących na portach i połączeniach sieciowych w punktach końcowych. Przewidują 2 typy zdarzeń:
 —— Network Listen – nasłuch sieci.
 —— Network Connection – nawiązanie połączenia sieciowego.

Conditions (EDR)

Aby dodać regułę EDR, decydujemy się na jedną z 7 sekcji (dowolną oprócz “Security Events”) i naciskamy Add New.

W oknie Add Condition, konfigurujemy następujące pola:

 – Event Type [1] – wybieramy typ zdarzenia. Typy zdarzeń zależne są od sekcji, w której definiujemy regułę.

 – Event Name [2] – nazwa własna zdarzenia. Widoczna później jako “Adaptive Event Name”.

Wybór, z rozwijanej listy, jednej z 14 taktyk naruszenia cyberbezpieczeństwa:

Każda z taktyk ma przypisaną listę technik, określającą JAK potencjalny cyberprzestępca mógłby osiągnąć swoje cele.
Nazwa taktyki mówi nam, CO potencjalny cyberprzestępca mógłby usiłować osiągnąć:

 – Initial Access – intruz próbuje dostać się do naszej sieci.
Techniki:

 – Execution – intruz próbuje uruchomić złośliwy kod.
Techniki:
 – Persistence – intruz próbuje utrzymać swoją pozycję w naszych zasobach.
Techniki:
 – Privilege Escalation – intruz próbuje uzyskać wyższy poziom uprawnień.

 – Defense Evasion – intruz próbuje uniknąć wykrycia przez podsystemy bezpieczeństwa.

 – Credential Access – intruz próbuje wykraść dane uwierzytelniające (nazwy kont i hasła).
Techniki:
 – Discovery – intruz usiłuje odkryć/rozpoznać środowisko naszych użytkowników.

 – Lateral Movement – intruz próbuje przemieszczać się w naszym środowisku (zasobach/infrastrukturze).
Techniki:
 – Collection – intruz próbuje zebrać od nas dane istotne dla jego celów.
Techniki:
 – Exfiltration – intruz próbuje wykraść dane.
Techniki:
 – Command and Control – intruz próbuje komunikować się z zaatakowanymi systemami, celem przejęcia nad nimi kontroli.
Techniki:
 – Impact – intruz próbuje zakłócać pracę systemów lub manipulować nimi, w dalszej kolejności także niszczyć systemy i dane.
Techniki:
 – Resource Development – intruz próbuje zebrać i skonfigurować zasoby/usługi, których może użyć do wsparcia swoich działań.
Techniki:
–  Reconnaissance – intruz próbuje zebrać informacje, które może wykorzystać do planowania przyszłych operacji.
Techniki:

Dokładny opis wszystkich technik i taktyk, LINK: Tactics – Enterprise | MITRE ATT&CK®

Object [5] / Subject [6]
Obiektem jest zasób, w którym wystąpił incydent. Na przykład punkt końcowy.
Podmiotem jest źródło incydentu. Na przykład użytkownik lub proces, który uzyskał dostęp do zasobu.
UWAGA!
Ustawienia Tactic, Technique, Object i Subject są opcjonalne i nie mają wpływu na działanie EDR.
Służą ocenie potencjalnego zagrożenia przez administratora,
oraz według uznania oznaczenia zagrożenia sygnaturą MITRE.
Reguły wykonania alertu
Aby dodać regułę, naciskamy [+] Add Rule [7] i wprowadzamy jej parametr, operator i wartość.
Zbędne reguły usuwamy opcją [X] Delete [9].
Aby dodać grupę reguł, naciskamy ⊕ Add Group [8], a następnie definiujemy reguły wewnątrz grupy.
Grupy reguł powiązane są operatorami logicznymi AND|OR [10].
Operator AND oznacza, że wszystkie pojedyncze reguły w grupie muszą zostać spełnione, aby wartość logiczna grupy wynosiła 1.

Operator OR oznacza, że dowolna, przynajmniej jedna pojedyncza reguła w grupie musi zostać spełniona, aby wartość logiczna grupy wynosiła 1.
Wartość Score [11] oznacza potencjalny poziom zagrożenia (od 0 do 10) dla warunku ostrzeżenia, którego reguły ustalamy.
Warunek ostrzeżenia zatwierdzamy, naciskając [Save] [12].

Czy było to pomocne?

Tak  Nie
O nas

Firma it partners security sp. z o.o. od 15 lat nieprzerwanie
zajmuje się dystrybucją wyłącznie innowacyjnych produktów
z sektora IT security.

W naszym portfolio znajdują się oprócz zabezpieczeń endpointów
i serwerów także zabezpieczenia styku sieci i backupu.

Na skróty:
  • FAQ
  • Forum
  • Baza wiedzy
  • Wideo poradniki
Linki producenta:
  • Strona producenta
  • Procedury
  • Forum producenta
  • Support producenta
Linki dystrybutora:
  • Strona dystybutora
  • news-room
  • Webinaria
  • Logowanie do konsoli
  • Start
  • Baza wiedzy
  • Forum
  • NewsRoom
  • Nasze usługi
  • O nas
  • Mapa integratorów
  • © 2022 it partners security sp. z o. o. All Rights Reserved.

popularne wyniki:demo Itarian, wyjątki do programów , aktywacja klucza