Skip to content

Documentație

Primii pași

CYBERQUEST este o platformă inovatoare de analiză a securității de tip Big Data, concepută pentru a oferi capabilități complete de audit și securitate pentru rețele mici, medii și…

Prezentare generală CYBERQUEST

CYBERQUEST este o platformă inovatoare de analiză a securității de tip Big Data, concepută pentru a oferi capabilități complete de audit și securitate pentru rețele mici, medii și de tip enterprise. Soluția a fost concepută pentru a funcționa ca o platformă de business agilă și scalabilă, care colectează și corelează inteligent datele din infrastructura IT a organizației și le utilizează pentru a răspunde oricărui tip de amenințare, prezentă sau viitoare, pe care o organizație ar putea să o întâmpine.

CYBERQUEST este extrem de scalabil și poate fi configurat pentru a se potrivi multor dimensiuni de organizație și cazuri de utilizare și se integrează cu ușurință cu toate soluțiile de securitate de pe piață, indiferent de clasificarea acestora. Soluția CYBERQUEST este un veritabil agregator de date de securitate provenite fie din software de tip Security Information and Event Management (SIEM), firewall-uri, platforme de prevenire și detecție a intruziunilor, fie din soluții de securitate a e-mailului și de securitate a endpoint-urilor. În plus, CYBERQUEST poate colecta, corela și oferi informații utile despre date eterogene generate de echipamentele de rețea, servere, baze de date și aplicații, ceea ce îl face un instrument de management operațional inestimabil pentru echipele dumneavoastră de securitate și administrare.

Capabilități principale

  • Colectare (Collect): adună toate sursele de date de securitate și relevante din infrastructura IT;

  • Corelare (Correlate): adaugă date de securitate de tip threat intelligence pentru corelare offline sau online;

  • Detecție (Detect): identifică rapid cele mai semnificative amenințări la adresa rețelei;

  • Vizualizare (Visualize): monitorizați cu precizie dintr-un singur punct de acces și primiți alerte specifice;

  • Răspuns (Respond): capabilitățile de Security Orchestration, Automation, and Response (funcții SOAR) sunt integrate în soluție;

  • Evaluarea vulnerabilităților (Vulnerability assessment): prin integrarea OpenVAS.

CYBERQUEST agregă și monitorizează toată activitatea din infrastructura dumneavoastră și, prin alerte în timp real, funcții SOAR și capabilități de evaluare a vulnerabilităților, oferă informații detaliate și declanșează răspunsuri pentru modificările și activitățile vitale - pe măsură ce acestea au loc. Aflați instantaneu cine, ce, când, unde și de ce a făcut o modificare, transformați apoi acea informație într-o analiză criminalistică inteligentă și aprofundată, îmbogățită cu date suplimentare din întregul mediu, puneți acea informație la dispoziția auditorilor și a ofițerilor de securitate și generați acțiuni automate ca răspuns la riscurile asociate modificărilor de zi cu zi.

Concept și disponibilitate

CYBERQUEST poate fi integrat fără probleme în infrastructura IT existentă și oferă monitorizare în timp real a comportamentului utilizatorilor și a datelor, detecția amenințărilor, analiza și corelarea datelor, precum și gestionarea informațiilor și a evenimentelor de securitate, într-o singură platformă, permițându-vă să:

  • Aveți o vizibilitate unificată și sporită asupra infrastructurii pentru managementul securității;

  • Asigurați și urmăriți conformitatea cu reglementările, auditurile de securitate și politicile;

  • Reduceți rapid și precis suprafața de expunere la amenințări a organizației;

  • Optimizați și generați rapoarte predefinite, gata de utilizare;

  • Îmbunătățiți capacitățile de răspuns la incidente ale soluției existente de management al securității și al evenimentelor.

CYBERQUEST este un produs de tip appliance (hardware și software) care suportă topologii multi-redundante și care poate fi scalat orizontal prin instalarea oricărui număr de noduri de procesare sau vertical prin adăugarea de resurse de procesare. Datorită flexibilității sale de implementare, soluția poate fi arhitecturată cu ușurință pentru a răspunde provocărilor de implementare pe mai multe locații. Soluția este disponibilă și sub formă de ofertă Software-as-a-Service.

Principalele sale funcționalități, oferite prin module multiple, sunt:

  • Normalizarea informațiilor disponibile din diferite sisteme în propriul format, prin conectori speciali dedicați;
  • Modulul Dashboards: oferă o reprezentare vizuală a evenimentelor, agregate după diferite criterii;
  • Modulul Browser: oferă acces la toate evenimentele și vizualizarea detaliilor;
  • Modulul Reporting: rapoarte predefinite pentru - GDPR, ISO 27001, COBIT, FISMA, HIPPA, PCI/DSS, SOX, rapoarte tehnologice;
  • Modulul Alerting: oferă alertare în timp real pentru situații configurabile, cu acțiuni de răspuns configurabile (funcții SOAR);
  • Modulul Investigation: o modalitate vizuală de a căuta evenimente și de a investiga situații;
  • Modulul Case management: o funcție de gestionare a cazurilor pentru activități de investigare colaborativă;
  • Modulul administrativ: asigură funcțiile de configurare și management ale aplicației;
  • Modulul Data Transformation System: un modul proprietar responsabil de diferite funcționalități ale CYBERQUEST, precum îmbogățirea evenimentelor, anonimizarea datelor etc.
  • Modulul Vulnerability Assessment: oferit prin integrarea OpenVAS (https://www.openvas.org/)

Arhitectură

Descriere de nivel înalt a fluxului de date

CYBERQUEST este o platformă dedicată de analiză a securității de tip Big Data, destinată utilizării de către ofițerii de securitate IT. Prin urmare, CYBERQUEST ajută companiile să fie mai sigure și, de asemenea, conforme cu reglementările interne și din industrie, prin colectarea unor volume mari de date disparate din infrastructură și din soluțiile de securitate terțe, agregând și îmbogățind datele colectate și prezentând personalului de securitate informații utile despre posibile amenințări și riscuri - totul în timp real.

Datele sunt colectate din diverse surse folosind Agentul de colectare (Collecting Agent) al CYBERQUEST (WMI, ODBC sau colectare la nivel de fișier etc.) sau prin recepționarea fluxurilor de date (syslog, NetFlow etc.). Datele sunt organizate în cozi, trimise către un Data Acquisition Service (DAS), care aplică regulile de achiziție și apoi trimite datele brute către un Data Transformation Service (DTS). DTS este responsabil de parsarea datelor și de generarea alertelor în timp real.

După aplicarea regulilor de parsare, datelor transformate li se aplică reguli de retenție. Regulile de retenție stabilesc dacă datele sunt stocate în Online Storage sau în Archive Data Storage. Diferența majoră dintre cele două tipuri de stocare este viteza de acces. Online Storage aplică indexare pe date necomprimate, ceea ce face ca orice informație să fie disponibilă în câteva secunde, cu costul spațiului. Archive DataStorage este conceput pentru retenția pe termen lung a datelor, fără a impune o limită volumului maxim al acestora. Arhiva stochează datele în fișiere comprimate și criptate; rata de compresie uzuală este de aproximativ 1:20.

Din arhivă, datele sunt extrase și importate în nodurile Online DataStorage pentru nevoile de investigare și raportare. Corelarea este efectuată de un Server CYBERQUEST, iar informațiile rezultate sunt prezentate în dashboard-uri și rapoarte.

Interfața Web CYBERQUEST este modulul central utilizat atât pentru managementul, cât și pentru utilizarea platformei. Interfața Web folosește un frontend web care permite administratorilor și operatorilor să interacționeze cu CYBERQUEST. În funcție de nivelul de acces permis, un utilizator va putea accesa modulele Reports, Dashboards, Investigations, Browser și Alerts și va beneficia de întregul set de analize de securitate.

Servicii și componente

Colectarea datelor

CYBERQUEST primește date de la o gamă largă de dispozitive. Datele colectate au diverse formate, dar sunt împărțite în principal pe secțiuni, după cum urmează: colectarea datelor despre evenimente, a datelor de flux, a informațiilor de evaluare a vulnerabilităților (VAI) și a altor tipuri de date relevante pentru analiza securității.

Colectarea datelor despre evenimente: evenimentele sunt colectate din surse de date care înregistrează evenimente de securitate, precum: routere, servere, firewall-uri, sisteme de detecție a intruziunilor (IDS) sau sisteme de prevenire a intruziunilor (IPS), switch-uri de rețea, active directory și alte echipamente de rețea.

Colectarea datelor de flux: informațiile despre traficul de rețea sunt colectate din protocoalele de rețea IPFIX și Netflow (versiunile 5, 9 și 10).

Evaluarea vulnerabilităților (VAI): stări de securitate relevante.

Colectarea datelor este un serviciu distribuit, alcătuit din mai multe componente care pot rezida în appliance-ul principal sau independent, pentru a permite arhitecturi de tip stea sau cloud. Odată colectate, datele sunt criptate și comprimate, apoi transportate de serviciul de tip message queuing către serviciul de achiziție a datelor.

Dacă datele nu pot fi livrate către serviciul de message queuing, unul dintre următorii agenți va efectua o stocare locală în cache pentru livrare ulterioară:

  • Windows Agent, capabil să stocheze până la 1 milion de evenimente.

  • Data Server efectuează comportament de caching atunci când este necesar, prin crearea de fișiere pe stația gazdă pentru a captura toate evenimentele, fără ca vreun eveniment să fie pierdut în timpul procesului.

Windows Agent

Windows Agent este o componentă de colectare a datelor, care interacționează direct cu sursele de evenimente. Poate fi instalat pe stații de lucru și servere. Versiunea minimă a sistemului de operare este Windows 7 (pe stații de lucru) și Windows Server 2008 (pe servere) și are o dependență software listată față de Microsoft .NET Framework 4.8.

  • Agenții Windows instalați pe versiuni mai vechi decât Windows 11 sau Windows Server 2022 trebuie actualizați în mediul Docker. Pe mașina terminal CYBERQUEST, navigați în folderul cyberquest-deployment și editați fișierul .env rulând următoarea comandă:
nano .env

Adăugați următoarea linie în fișier:

SSL_PROTOCOLS=TLSv1.2 TLSv1.3
  • Agenții Windows instalați pe versiuni mai vechi decât Windows 11 sau Windows Server 2022 trebuie actualizați în mediul dpkg. Pe mașina terminal CYBERQUEST, editați fișierul custom rulând următoarea comandă:

    sudo nano /etc/nginx/sites-enabled/custom
    

Editați următoarea linie din fișier:

ssl_protocols TLSv1.3;

Agentul folosește șabloane de configurare care pot fi asociate cu una sau mai multe surse de date. Șabloanele conțin setări specifice surselor de date: credențiale, maparea câmpurilor, filtrarea evenimentelor, scripturi de procesare a datelor, interogări de baze de date și altele.

În mod implicit, agentul adresează următoarele surse de date:

  • Colectare WMI (Windows Management Instrumentation) locală și la distanță:

    • Jurnale Windows Security;

    • Jurnale Windows Application;

    • Jurnale Windows System;

    • Alte jurnale de aplicații și servicii în format standard Windows.

  • Colectare MS SQL locală și la distanță:

    • Interogări pentru colectarea incrementală a datelor din tabelele bazei de date care conțin jurnale de aplicații (versiunea minimă suportată este MSSQL Server 2005);

    • Audit SQL Server (versiunea minimă suportată este MS SQL Server 2008) în mod implicit.

  • Colectare Oracle locală și/sau la distanță:

    • Interogări pentru colectarea incrementală a datelor din tabelele bazei de date care conțin jurnale de aplicații (versiunea minimă suportată este Oracle 9i);

    • Audit nativ al instanței Oracle; în mod implicit, soluția oferă șabloane pentru Oracle 9i, 10g, 11g și 12c.

  • Colectare de date personalizată (care necesită configurarea parametrilor și a mapărilor în fiecare șablon personalizat):

    • Colectare locală și/sau la distanță pentru surse ODBC (open database connectivity) care suportă drivere ODBC pe 64 de biți;

    • Colectare locală și/sau la distanță pentru surse MySQL, MariaDB, PostgresSQL, MS-SQL, inclusiv interogări pentru colectarea incrementală a datelor din tabelele bazei de date care conțin jurnale de aplicații și audit nativ al platformei;

    • Colectare locală a fișierelor cu marcaj temporal în format CSV/TSV/JSON;

    • Colectare locală a fișierelor personalizate parsabile de orice tip, pentru care agentul folosește un script de preprocesare;

    • Date bazate pe API HTTPS;

    • Altele.

Data Server

Data Server este un serviciu distribuit, alcătuit din mai multe componente care pot rezida în appliance-ul principal sau independent, pentru a permite arhitecturi de tip stea sau cloud. Serviciul este utilizat pentru a efectua pre-parsarea datelor în format nativ syslog, compatibil cu standardele RFC 5424 și RFC 3164. Sistemul poate, de asemenea, să primească și să proceseze date NetFlow (NetFlow versiunile 5, 9, 10 și ipfix) și să efectueze stitching NetFlow numit Biflow.

De asemenea, Data Server acționează ca un agent pasiv pentru mesajele syslog și NetFlow primite de CYBERQUEST. În mod implicit, serviciul este configurat să asculte pe portul UDP/TCP 5140 pentru evenimente syslog, UDP 2055 pentru pachete NetFlow, TCP 5141 pentru date CEF, TCP 6514 pentru Syslog pe protocol TLS.

Data-Server și Windows Agent folosesc comunicare securizată către serverul central CyberQuest, utilizând 2 tipuri de criptare complementare:

  1. Conexiune criptată SSL nativă către RabbitMQ pe server, pe portul 5671 (implicit).

  2. Criptare suplimentară AES-256 pentru toate mesajele (jurnalele). Aceasta poate fi activată folosind parametrul “Encrypt” la nivel de agent.

Data Storage

CyberQuest stochează datele în 2 locuri paralele: OpenSearch pentru investigații imediate și serviciul Data-Storage. Datele păstrate în serviciul data-storage sunt bazate pe sistemul de fișiere, includ compresie și criptare automate și folosesc, din motive de protecție împotriva alterării datelor, protecție prin semnătură digitală.

Instalarea implicită include un depozit „default” sub „/data/storage/default”. Toate datele primite sunt trimise automat către acest depozit. DataStorage folosește un fișier special care găzduiește datele despre evenimente: fișierul „.ds”. Acest fișier este semnat PGP, astfel încât orice alterare nu va mai valida semnătura.

Cheile de criptare sunt generate automat și TREBUIE să aibă copii de rezervă. NextGen Software NU POATE recupera datele dacă acestea sunt pierdute. Acestea sunt stocate sub:

ls /var/opt/cyberquest/encryption/datastorage