Narzędzie Event Search pozwala na przegląd wszystkich zdarzeń na wszystkich stacjach wdrożonych do konsoli zarządzającej.
Notowanie wszystkich zdarzeń generuje duże ilości danych, a ich przeglądanie jest czasochłonne, zatem narzędzie wyposażone jest filtry i powiązane z nimi parametry.
Query Fields [1]
EDR przewiduje 39 pól w rekordzie każdego zdarzenia.
Pola te, są powiązane z charakterem notowanych zdarzeń, co sprawia że nie wszystkie muszą być wykorzystane.
Pola (parametry) do zapytań:
– Event Time – dokładny czas zajścia zdarzenia.
– Event Type – typ zdarzenia.
– Event Group – nazwa grupy zdarzeń.
– Adaptive Event Name – nazwa własna zdarzenia, jeśli została ustalona w polityce ostrzeżeń; więcej tutaj:
– Component – podsystem bezpieczeństwa, którego dotyczy zdarzenie.
– Process FLS Verdict – ocena procesu wywołanego przez plik wg. FLS (File Lookup System).
– Device Name – nazwa urządzenia.
– FLS Verdict – ocena pliku wg. FLS (File Lookup System).
– File Old Path – ścieżka do pliku przed wystąpieniem zdarzenia.
– Device OS – system operacyjny pracujący na urządzeniu
– Xcitium Verdict – ocena pliku wg. Xcitium.
– Admin Verdict – ocena pliku wg. administratora.
– URL – adres URL powiązany ze zdarzeniem.
– Downloaded File Path – ścieżka do pliku pobranego
– Downloaded File Hash – funkcja skrótu pliku pobranego.
– Endpoint Identifier – identyfikator urządzenia.
– Customer Identifier – identyfikator klienta (firmy/instytucji)
– Path – szczegółowo:”child_process_path”, ścieżka do procesu potomnego.
– Elevation Type – poziom uprawnień, na których działa proces.
– Target Name – nazwa celu.
– Command Line – polecenie linii komend (CMD) powiązane z procesem.
– Hash – szczegółowo:”child_process_hash”, funkcja skrótu procesu potomnego.
– Process PID – numer identyfikacyjny procesu.
– Process Instance ID – identyfikator instancji (jednego z uruchomień) procesu.
– Process Creation Time – dokładny czas utworzenia proces.
– Process Path – ścieżka do pliku wywołującego proces.
– Process User Name – nazwa użytkownika procesu.
– Process User Domain – nazwa domenowa użytkownika procesu.
– Process Hash – funkcja skrótu procesu.
– Logged On User – aktualnie zalogowany użytkownik procesu.
– PID – szczegółowo:”child_process_pid”, numer identyfikacyjny procesu potomnego.
– Source IP – źródłowy adres IP.
– Destination IP – docelowy adres IP.
– Source Port – numer portu źródłowego komunikacji sieciowej.
– Destination Port – numer portu docelogo komunikacji sieciowej.
– Network Transfer Protocol – typ protokołu komunikacji sieciowej.
– Registry Value Name – nazwa wpisu w rejestrze systemowym.
– Registry Key Path – ścieżka do klucza w rejestrze systemowym.
– Registry Value Data – wartość klucza w rejestrze systemowym.
– File Path – ścieżka do pliku.
– File Hash – funkcja skrótu pliku.
– File Name – nazwa pliku.
– File Type – typ pliku.
Operators [2]
Operatory wartościujące parametry zapytań:
– CONTAINS ( ~ ) – “zawiera”.
– EQUALS ( = ) – “równy”.
– GREATER ( > ) – “większy”.
– GREATER_EQUAL ( >= ) – “większy lub równy”.
– NOT_EQUAL ( != ) – “różny”.
– SMALLER ( < ) – “mniejszy”.
– SMALLER_EQUAL ( <= ) – “mniejszy lub równy”.
Sample Queries [3]
Przykładowe, przydatne zapytania, sugerowane przez producenta:
– List Powershell Events – Lista zdarzeń powłoki systemowej opartej na CLI – PowerShell
process_path ~ powershell.exe
– List Detection Events – Lista zdarzeń wykrycia złośliwego oprogramowania przez silnik antywirusowe.
event_type = "Antivirus Detect Malware"
– List Containment Events – Zdarzenia wirtualizacji procesów przez podsystem Containment.
component = Containment
– List Alert Related Events – Lista zdarzeń, które są przewidziane w polityce ostrzeżeń; więcej tutaj: Alert Policy – (zabezpieczenia.it).
adaptive_event_name != null
– List Process Events – Zdarzenia z grupy zdarzeń dotyczących procesów.
event_group = PROCESS
– List File Events – Zdarzenia z grupy zdarzeń dotyczących plików.
event_group = FILE
– List Registry Events – Zdarzenia zmian w rejestrze systemowym.
event_group = REGISTRY
– List Network Events – Zdarzenia należące do grupy zdarzeń sieciowych.
event_group = NETWORK
– List Defense Plus Events – Lista zdarzeń wykrytych przez podsystem Defense Plus (HIPS)
event_group = DEFENSEPLUS
My Queries [4]
Zapytania własne, zdefiniowane przez użytkownika.
Aby zachować zapytanie pod nazwą własną, po jego wpisaniu w pole wyszukiwania naciskamy Save Query [5] i nazywamy je.
Search [6] (wyszukiwanie)
Aby wyszukać zdarzenia według własnych kryteriów, wpisujemy zapytanie oparte na parametrach (patrz: akapit Query Fields [1]⇑), operatorach (patrz: akapit Operators [2]⇑) oraz wartościach przewidzianych dla parametrów, w pole z domyślnym wpisem [Enter your query here…] i naciskamy [Search] [6].
Ikona kalendarza [7] uruchamia narzędzie pozwalające doprecyzować przedział czasowy wystąpienia interesujących nas zdarzeń.
Naciśnięcie Clear Field [8] czyści pole z bieżącym zapytaniem.
Pole zapytania ma również formę rozwijanej listy, na której zapamiętana jest historia zapytań.
Select fields to show aggregations [9]
Rozwijana lista pól do wyświetlenia agregacji jest lista wszystkich możliwych parametrów zdarzeń przewidzianych przez EDR (patrz: akapit Query Fields [1]⇑).
Agregacją jest przedstawienie zdarzeń dla danego parametru, pogrupowanych według liczby wystąpień wartości dla niego przewidzianych.
Agregacja ma formę przewijanej listy (do 5 pozycji na podstronę) i jest jednocześnie automatycznym generatorem zapytań w postaci: [parametr, znak równości, wartość].
Aby wyświetlić agregacje dla interesujących nas parametrów, zaznaczamy je na liście [9] a następnie naciskamy [Save][10].
Select Fields [11]
Lista wyboru pól pozwala ustawiać kolumny informacji widoczne w tabeli wyników wyszukiwania.
Kolumny są odpowiednikami parametrów zapytania (patrz: akapit Query Fields [1]⇑).
Aby wyświetlić kolumny z wartościami interesujących nas parametrów, zaznaczamy je na liście [11] a następnie naciskamy [Save][12].
Widok szczegółowy [13]
Naciśnięcie przycisku rozwijania [>][13] (zmiana kształtu na [v]) powoduje rozwinięcie widoku, w którym wyszczególnione są parametry z wartościami; najbardziej istotne dla obserwowanego zdarzenia.
Naciśnięcie na wartość parametru rozwija menu kontekstowe [14] z opcjami:
– Add to Query – dodanie parametru z wartością do kryteriów bieżącego zapytania (patrz: akapit Search [6]⇑).
– Start new Query – wygenerowanie z parametru i wartości nowego zapytania i wykonanie go (patrz: akapit Search [6]⇑).
– Show File in Hash – tylko dla parametrów typu “hash” – przekierowanie do narzędzia wyszukiwania plików przy pomocy funkcji skrótu; więcej tutaj: Hash Search (zabezpieczenia.it).
– Show in Process Timeline – tylko dla parametrów typu “hash” – przeniesienie do obserwacji osi czasu procesu i procesów powiązanych (narzędzie Process Timeline)