Documentație
Parsare bazată pe tag
Datele sunt colectate din diverse surse folosind Agentul de colectare (Collecting Agent) al CYBERQUEST (WMI, ODBC sau colectare la nivel de fișier etc.) sau prin recepționarea fluxurilor de date (syslog, NetFlow…
Fluxul intern de date CQ
Datele sunt colectate din diverse surse folosind Agentul de colectare (Collecting Agent) al CYBERQUEST (WMI, ODBC sau colectare la nivel de fișier etc.) sau prin recepționarea fluxurilor de date (syslog, NetFlow etc.). Datele sunt organizate în cozi, trimise către un Data Acquisition Service (DAS), care aplică regulile de achiziție și apoi trimite datele brute către un Data Transformation Service (DTS). DTS este responsabil de parsarea datelor și de generarea alertelor în timp real.
Data Server - este responsabil de recepționarea evenimentelor și de preprocesarea acestora. După acest proces, evenimentele sunt trimise către serviciul Data Acquisition folosind serviciul intern de cozi (RabbitMQ).
Windows Agent - trimite evenimentele de la stațiile Windows către serviciul Data Acquisition folosind serviciul intern de cozi (RabbitMQ).
RabbitMQ - este responsabil de gestionarea internă a cozilor aplicației.
Data Acquisition - procesează evenimentele folosind parsere API. După ce evenimentele au fost procesate, acestea sunt trimise către: baza de date online (Online DataStorage), serviciul Data Storage și serviciul Data Correlation.
Data Storage - acest serviciu criptează și comprimă evenimentele în arhivă. Serviciul Data Storage permite aplicației CYBERQUEST să mențină depozite de arhivă uriașe. În proiecte în care datele trebuie păstrate pe perioade foarte lungi de timp și cu cerințe de acces imediat.
Data Correlation - generează alerte pe baza datelor în timp real și corelează evenimentele pentru alertare.
Elastisearch - este baza de date online.
Parsarea automată
Parsarea automată este efectuată de serviciul Data Server împreună cu serviciul Data Acquisition.
Serviciul Data Server recepționează evenimentele, le preprocesează și le trimite către serviciul Data Acquisition pentru procesare.
Evenimentelor care au fost preprocesate de Data Server li se atribuie un tag, iar Data Acquisition le procesează în funcție de tagul atribuit de Data Server.
Dacă evenimentele nu au fost preprocesate de Data Server, ele nu vor fi procesate de serviciul Data Acquisition și trebuie adăugată o sursă de date pentru acel tip de eveniment. Sursele de date pot fi adăugate din aplicația web, din pagina Settings -> Management -> Data Source Manager.
Tag Alias
Tag alias este o funcție care permite parsarea evenimentelor folosind un alt parser decât cel original atribuit de data server.
Pentru a utiliza Tag Alias trebuie să identificați Initial Tag în Browser Module. Initial Tag poate avea: EventID 100000, un alt tag inițial care nu există în Data Acquisition sau fără date pe STRINGFIELDS.
Pentru a accesa această funcție trebuie să deschideți pagina Tag alias urmând pașii de mai jos:
a) Navigați la Settings
în partea stângă a interfeței, unde se află butoanele de acces rapid, apoi faceți clic pe Management > Tag Alias:

b) Se va deschide fereastra Tag Alias:

Pentru a adăuga un nou Tag Alias pe care l-ați găsit în Browser Module, apăsați butonul
și se va deschide fereastra:

Completați următoarele:
- Initial Tag: tagul pe care l-ați găsit în Browser Module și care nu este procesat în CYBERQUEST.
- Final Tag: puteți alege din lista predefinită tagul surselor de date. Evenimentele vor fi procesate cu Final Tag utilizat.
Butonul Edit
din colțul din dreapta vă permite să editați grupul selectat.
Pentru a șterge un grup din listă, apăsați butonul
de lângă acesta și selectați Delete. Ca măsură de precauție, vi se va cere să confirmați ștergerea.
Parsarea îmbunătățită
Parsarea îmbunătățită constă în traducerea evenimentelor și adăugarea de informații suplimentare față de ceea ce furnizează deja Windows. Windows Events Enricher adaugă următoarele informații în câmpul Forensics:
- Who - descrie cine a creat evenimentul
- What - Categoria evenimentului
- Where - descrie locația unde a avut loc evenimentul
- Why - descrie de ce a fost creat evenimentul
De exemplu, accesați Browser Module și căutați EventID: 4625, iar acolo veți găsi câmpul de categorie numit _FORENSICS. Acolo veți vedea cele 4 câmpuri forensics ale Windows Enricher:

- Who: “UserName/Account Name”
- What: “Category”
- Where: “Computer”
- Why: ""