Documentație
Modulul Management
Modulul Management din CYBERQUEST oferă control centralizat asupra tuturor componentelor sistemului, permițând administratorilor să configureze, să monitorizeze și să întrețină diverse aspecte ale platformei de gestionare a informațiilor și a evenimentelor de securitate. Acest ghid cuprinzător acoperă toate funcționalitățile de management disponibile prin Web Interface.
Event Dictionary
Event Dictionary este o componentă fundamentală a CYBERQUEST care definește modul în care diferite tipuri de evenimente de securitate sunt parsate, normalizate și interpretate de sistem.
CYBERQUEST include un dicționar de evenimente cuprinzător, axat pe sistemele de operare Windows, cu o extindere continuă pentru a acoperi toate tehnologiile majore suportate. Dicționarul este actualizat în mod continuu pentru a include noi tipuri de evenimente și amenințări de securitate.
Accesarea Event Dictionary
Navigați la Settings > Management > Event Dictionary în Web Interface pentru a accesa pagina de gestionare a evenimentelor. Această interfață afișează toate obiectele de eveniment definite și oferă instrumente pentru gestionarea lor.

Faceți clic pe butonul de export
de lângă orice definiție de eveniment. Evenimentele sunt exportate ca fișiere CQO proprietare, pentru backup sau partajare.Pentru a importa evenimente, folosiți opțiunea de import, apăsând butonul
.Folosiți butonul de actualizare
pentru a reîmprospăta dicționarul de evenimente cu cele mai recente definiții.Faceți clic pe butonul de editare
pentru a modifica proprietățile evenimentului.Folosiți butonul de ștergere
pentru a elimina definițiile de evenimente. Înainte de ștergere este necesară o confirmare pentru a preveni eliminarea accidentală.Folosiți butonul Bulk Import
pentru a selecta un fișier și a importa mai multe definiții de evenimente. Sunt suportate doar fișierele în format .cqo.Folosiți butonul Select
pentru a alege mai multe evenimente. Opțiunea Export devine disponibilă pentru a exporta definițiile de evenimente selectate.Folosiți bara Quick Filter pentru a căuta după:
- Event ID
- Numele evenimentului
- Descrierea evenimentului
![]()
Crearea unei noi definiții de eveniment
Crearea de definiții de evenimente personalizate extinde capabilitățile CYBERQUEST de a parsa și analiza evenimente provenite din aplicații proprietare, sisteme personalizate sau tehnologii neacoperite de dicționarul implicit.
Accesarea interfeței de creare
- Navigați la Settings > Management > Event Dictionary
- Din interfața web Event Dictionary, selectați opțiunea „ADD EVENT”

- Se va deschide pagina de configurare Add Event Dictionary

- Platform: tehnologia sau sistemul care generează evenimentul
- Event ID: identificator unic pentru tipul de eveniment (se recomandă utilizarea unei scheme de numerotare standardizate)
- Event Name: nume descriptiv pentru eveniment
- Description: explicație detaliată a ceea ce reprezintă evenimentul
- ADD EXTRA ROW: până la 150 de câmpuri suplimentare pentru detalii specifice evenimentului
După verificarea tuturor setărilor configurate, folosiți butonul „Save” pentru a stoca noua definiție de eveniment. Odată salvat, evenimentul devine imediat disponibil pentru parsare și analiză.
Gestionarea dashboard-urilor
Dashboard-urile din CYBERQUEST oferă reprezentări vizuale ale datelor de securitate, permițând echipelor de securitate să monitorizeze metrici cheie, să urmărească incidentele și să obțină informații despre postura de securitate. Interfața de gestionare Dashboards permite administratorilor să creeze, să configureze și să întrețină configurațiile de dashboard pentru diverse cazuri de utilizare.
Navigați la Settings > Management > Dashboards în Web Interface. Această pagină afișează toate obiectele de tip dashboard configurate în instanța dumneavoastră CYBERQUEST.

Faceți clic pe butonul de export
de lângă orice dashboard. Dashboard-urile sunt exportate în format .cqo pentru backup sau partajare, util pentru migrarea dashboard-urilor între medii sau pentru crearea de copii de rezervă.Folosiți opțiunea de import
din interfața web Dashboards.Faceți clic pe butonul de editare
pentru a modifica proprietățile dashboard-ului.Folosiți butonul de ștergere
pentru a elimina dashboard-uri. Este necesară o confirmare pentru a preveni ștergerea accidentală.
Crearea de noi dashboard-uri
Faceți clic pe butonul de creare
din pagina de gestionare Dashboards.
Se va deschide fereastra de configurare Save Dashboard:

- Name: un identificator unic pentru dashboard.
- Friendly Name: un nume prietenos sau ușor de citit.
- Text: text descriptiv opțional sau note despre dashboard.
- Choose Field: selectați câmpul de date specific.
- How Many Records: specificați numărul maxim de intrări de date care vor fi afișate.
- Data Filter: aplicați condiții sau criterii pentru a limita ce înregistrări apar.
- Choose Chart Type: selectați stilul de vizualizare.
Faceți clic pe „Save” pentru a păstra configurația sau pe „Cancel” pentru a renunța la modificări.
Gestionarea filtrelor
Filtrele din CYBERQUEST sunt instrumente bazate pe interogări care permit echipelor de securitate să se concentreze pe subseturi specifice de date de securitate, pe baza unor criterii definite. Ele permit filtrarea precisă a datelor pentru investigații, raportare, monitorizarea conformității și threat hunting, prin aplicarea unei logici condiționale fluxurilor de evenimente.
Navigați la Settings > Management > Filters în Web Interface pentru a accesa pagina de gestionare a filtrelor. Această interfață afișează toate obiectele de tip filtru configurate.

- Faceți clic pe butonul de editare
pentru a actualiza un filtru existent. Filtrele predefinite respectă standardele de conformitate și pot necesita cunoștințe avansate de interogare. - Faceți clic pe butonul de ștergere
pentru a elimina un filtru. O solicitare de confirmare asigură că filtrele nu sunt șterse accidental. - Folosiți butonul
pentru a face un filtru activ sau inactiv. Filtrele active sunt aplicate automat, în timp ce filtrele inactive sunt salvate, dar nu sunt executate.
Crearea de noi filtre
Faceți clic pe butonul de creare
din pagina de gestionare Filters:

Name: un titlu clar, descriptiv, care face filtrul ușor de identificat.
Description: detalii despre scopul filtrului.
Query: o expresie în limbajul de interogare CYBERQUEST care definește criteriile exacte pentru selectarea sau excluderea datelor.
Active/Inactive: activează sau dezactivează filtrul. Când este activ, filtrul este aplicat automat; când este inactiv, este salvat, dar nu este executat.
Pentru instrucțiuni detaliate despre salvarea unui filtru nou din modulul Browser, consultați linkul următor: Save as New Filter.
Gestionarea obiectelor
Obiectele din CYBERQUEST reprezintă entități din mediul dumneavoastră IT care pot fi monitorizate, analizate și gestionate. Interfața Objects Management oferă control centralizat asupra tuturor definițiilor de obiecte, permițând administratorilor să creeze, să modifice și să întrețină configurațiile de obiecte pentru o rezoluție consecventă a entităților și o îmbogățire contextuală pe întreaga platformă.
- Obiectele permit identificarea consecventă a entităților (utilizatori, sisteme, aplicații) în diferite surse de date și tipuri de evenimente, rezolvând diverși identificatori (adrese IP, hostname-uri, ID-uri de utilizator) către aceeași entitate logică, pentru o urmărire și o analiză precise.
- Obiectele oferă context suplimentar evenimentelor de securitate prin asocierea acestora cu entități cunoscute, adăugând informații precum apartenența la un departament, criticitatea unui sistem sau locația geografică, pentru a îmbunătăți evaluarea amenințărilor și eficiența investigațiilor.
- Obiectele asigură o reprezentare uniformă a entităților în liste, rapoarte și investigații.
- Majoritatea obiectelor sunt create automat atunci când sunt detectate noi entități în mediu.
- Administratorii pot crea și modifica obiecte manual pentru entități personalizate sau specializate.
Navigați la Settings > Management > Objects în Web Interface pentru a accesa pagina de gestionare a obiectelor. Această interfață afișează toate definițiile de obiecte configurate în instanța CYBERQUEST. O listă derulantă permite vizualizarea tuturor obiectelor sau selectarea unui obiect specific pentru afișare.

- Faceți clic pe butonul de editare
pentru a modifica detaliile unui obiect existent din lista selectată. - Faceți clic pe butonul de ștergere
pentru a elimina un obiect. O solicitare de confirmare asigură că obiectele nu sunt șterse accidental.
Crearea de noi obiecte
Faceți clic pe butonul de creare
din pagina de gestionare Objects; se va deschide configurarea Add Object:

- Name: nume descriptiv pentru obiect
- Value: identificator sau valoare specifică pentru obiect
- TTL: specifică durata (în secunde) în care obiectul va rămâne activ în listă înainte de a expira automat și de a fi eliminat. Introducerea valorii
-1va face obiectul permanent. - Object List: selectează lista țintă în care va fi adăugat obiectul. Exemplele includ
BlackListIPpentru blocarea adreselor IP.
Faceți clic pe „Save” pentru a păstra configurația sau pe „Cancel” pentru a renunța la modificări.
Agent Manager
Agent Manager din CYBERQUEST oferă control centralizat asupra tuturor agenților implementați, permițând administratorilor să înregistreze, să configureze, să monitorizeze și să gestioneze agenții care colectează și transmit date din diverse surse.
Navigați la Settings > Management > Agent Manager în Web Interface pentru a accesa pagina de gestionare a agenților. Această interfață afișează toți agenții înregistrați și starea lor curentă.

Faceți clic pe actions menu de lângă agent pentru a accesa opțiunile de management disponibile:

- Edit agent settings - deschide fereastra de configurare a agentului, permițând utilizatorilor să modifice parametrii agentului.
- Stop Agent Service - oprește serviciul agentului pe mașina țintă.
- Uninstall Service - elimină serviciul agentului de pe mașina țintă.
- Set status as not deployed - schimbă starea agentului în Not Deployed, indicând faptul că agentul nu mai este considerat implementat în sistem.
- Start Agent Service
- pornește serviciul agentului pe mașina țintă. Această opțiune este disponibilă atunci când serviciul agentului este oprit sau nu rulează. - Manually Deploy - indică faptul că agentul necesită implementare manuală sau intervenție manuală înainte de a putea fi utilizat.
- Not Deployed - indică faptul că agentul nu este în prezent implementat pe mașina țintă.
- DOWNLOAD WINDOWS AGENT - descarcă cea mai recentă versiune a agentului CYBERQUEST. Agentul trebuie instalat pe o mașină țintă Windows, iar fișierul va fi descărcat ca „AgentSetup.msi”.
Înregistrarea de noi agenți
Faceți clic pe butonul „Register New Agent”
din pagina Agent Manager.Selectați „Windows” ca platformă țintă și faceți clic pe „Next”.
Completați formularul de configurare a agentului cu detaliile necesare.


Parametrii de configurare a agentului
La înregistrarea unui nou agent, trebuie completate mai multe câmpuri:
- Agent Name: numele atribuit agentului pentru identificare în cadrul sistemului.
- Computer: adresa IP a mașinii gazdă unde va fi instalat agentul.
- Agent Deployment Credentials: credențiale utilizate pentru implementarea agentului.
- Tenant: alegeți tenant-ul corespunzător din lista disponibilă.
- Agent Notes: comentarii sau descrieri opționale pentru referință.
- Agent Batch Size: numărul de evenimente procesate într-un singur lot.
- Compress Data: activează compresia datelor înainte de transmitere.
- Encrypt Data: activează criptarea pentru un transfer securizat al datelor.
- Agent Log Cleanup: specifică regulile de retenție și curățare a jurnalelor.
- Throttle Data Collection (@Number events): limitează rata de colectare a evenimentelor pentru a preveni supraîncărcarea sistemului.
- Message Queue Port: portul pentru comunicarea cu coada de mesaje.
- Message Queue Server: hostname-ul sau IP-ul serverului de coadă de mesaje.
- Message Queue Username: numele de utilizator pentru autentificarea la coada de mesaje.
- Message Queue Password: parola pentru accesul la coada de mesaje.
- Message Queue Use SSL: activează SSL pentru comunicarea securizată cu coada.
- Settings Managed from CyberQuest Cloud: permite configurarea de la distanță prin CyberQuest Cloud.
Înainte de a începe procesul „Deploy Agent Service to Target Machine”, rulați următoarea comandă pe mașina Windows folosind Windows PowerShell. Acest pas creează o regulă de firewall necesară pentru a asigura o comunicare corespunzătoare în timpul implementării.
New-NetFirewallRule -DisplayName "CQ-Agent" -Direction Inbound -LocalPort 445 -Protocol TCP -Action Allow -RemoteAddress "CQ-Address-IP" -Profile Any
Odată ce configurația este salvată, procesul de instalare a agentului Windows poate începe. Pentru a porni implementarea, faceți clic pe butonul
etichetat „Deploy agent service to target machine”. Această acțiune va iniția instalarea agentului pe gazda specificată folosind setările definite anterior. Asigurați-vă că mașina țintă este accesibilă și că credențialele de implementare sunt corecte înainte de a continua.

Un mesaj de stare va apărea în partea de sus a ecranului odată ce instalarea agentului începe. Așteptați până când mesajul este afișat - acest lucru confirmă faptul că agentul a fost instalat cu succes pe mașina țintă.
Pentru instrucțiuni detaliate despre implementarea și gestionarea agenților, consultați:
Data Source Manager
Un instrument centralizat din CYBERQUEST pentru gestionarea tuturor surselor de date. Permite administratorilor să configureze, să monitorizeze și să întrețină sistemele, aplicațiile și serviciile care furnizează evenimente de securitate, jurnale și telemetrie pentru analiză.
Navigați la Settings > Management > Data Sources Manager în Web Interface pentru a accesa pagina de gestionare a surselor de date. Această interfață afișează toate sursele de date configurate și starea lor curentă.

Bulk Clone
: clonează setările sursei de date curente pentru mai multe elemente specificate în câmpul „Bulk Clone”. Util pentru crearea de configurații similare pe mai multe sisteme sau surse de date.Clone
: duplică o configurație de sursă de date existentă. Copia pornește cu aceleași setări și poate fi ajustată după nevoie.Edit
: modifică parametrii de configurare a sursei de date, inclusiv setările de colectare, regulile de parsare și opțiunile de integrare.Delete
: elimină o sursă de date din sistem. Necesită confirmare pentru a preveni ștergerea accidentală.
Adăugarea de noi surse de date
- Pentru a adăuga o nouă sursă de date, faceți clic pe butonul „Add Data Source”
și se va deschide o fereastră de selecție care prezintă tipurile de surse de date disponibile dintr-o listă predefinită.

Completați formularul de configurare cu detaliile necesare specifice tipului de sursă de date.
Faceți clic pe „Save” pentru a păstra configurația sau pe „Cancel” pentru a renunța la modificări.
Butonul Select datasource
dezvăluie un meniu cuprinzător pentru gestionarea simultană a mai multor surse de date:
![]()
- Assign Agent: atribuie mai mulți agenți surselor de date selectate. Folosiți casetele de selectare pentru a selecta sursele de date, apoi alegeți agentul care va colecta și transmite datele către CYBERQUEST.
- Unassign Agents: elimină atribuirile de agenți de la mai multe surse de date. Acest lucru oprește colectarea datelor de la sursele selectate până când sunt atribuiți noi agenți.
- Bulk delete: șterge mai multe surse de date într-o singură operațiune. Util pentru curățarea surselor de date învechite sau neutilizate.
- Close selection: închide meniul de operațiuni în masă și revine la vizualizarea standard.
- Bulk Export: exportă simultan mai multe surse de date selectate. Fișierul exportat conține configurațiile acestora, care pot fi salvate pentru backup sau reutilizate ulterior.
Pentru instrucțiuni detaliate despre configurarea unor tipuri specifice de surse de date, consultați:
- How to collect data from Check Point Firewall
- How to collect data on Active Directory
- How to collect data on Windows Application Log
- How to collect data on Windows Security Log
- How to collect data on Windows System Log
- How to connect to CQ Threat Intelligence
- How to connect to Active Directory
Credential Manager
Credential Manager - stochează și gestionează în siguranță credențialele utilizate de agenți și de sursele de date. Toate credențialele sunt criptate, accesate doar de componente autorizate și gestionate dintr-o singură interfață centralizată.
Navigați la Settings > Management > Credential Manager în Web Interface pentru a accesa pagina de gestionare a credențialelor. Această interfață afișează toate credențialele stocate și oferă instrumente pentru gestionarea lor.

- Faceți clic pe butonul de editare
pentru a modifica proprietățile unei credențiale existente. Parolele trebuie reintroduse, iar modificările intră în vigoare imediat pentru toți agenții care o folosesc. - Faceți clic pe butonul de ștergere
pentru a elimina definitiv o credențială după confirmare. Asigurați-vă că aceasta nu este utilizată de niciun agent sau sursă de date activă.
Crearea de noi credențiale
Pentru a crea un nou set de credențiale:
Faceți clic pe butonul „Add Credential”

Se va deschide formularul de configurare a credențialei:

Completați formularul cu următorii parametri:
- Credentials Type: selectați tipul de credențială:
- Generic (default) - credențiale standard de tip nume de utilizator/parolă.
- APIKey - cheie de acces pentru autentificarea API.
- SSHPublicKey - cheie publică SSH pentru autentificare securizată.
- Token - token de autentificare pentru servicii.
- APIKeyWithPassword - cheie API care necesită și o parolă.
- Name: un nume clar, descriptiv pentru setul de credențiale, care indică scopul și sistemul asociat.
- Username/Email: numele de utilizator sau adresa de e-mail folosită pentru autentificare. Pentru conturile de sistem, folosiți formatul complet al numelui de utilizator (de ex., „DOMAIN\username”).
- Password: parola pentru cont. Asigurați-vă că este puternică și sigură.
- Confirmation Password: reintroduceți parola pentru a confirma corectitudinea.
- Domain: numele de domeniu pentru credențialele de utilizator de domeniu. Lăsați necompletat pentru conturile locale.
- Notes: comentarii sau descrieri opționale despre utilizarea, scopul sau restricțiile credențialei.
Faceți clic pe „Save” pentru a stoca credențialele sau pe „Cancel” pentru a renunța la modificări.
Vulnerability Manager
Modulul Vulnerability Assessment - folosește OpenVAS pentru a oferi scanare completă a vulnerabilităților pentru sisteme.
Navigați la Settings > Management > Vulnerability Manager în Web Interface pentru a accesa dashboard-ul de gestionare a vulnerabilităților. Această interfață oferă control centralizat asupra operațiunilor de scanare a vulnerabilităților, a rezultatelor și a urmăririi remedierii.

Pentru informații detaliate despre capabilitățile de gestionare a vulnerabilităților, consultați: Vulnerability Manager
Tag Alias
Tag Alias - permite ca evenimentele dintr-o sursă de date să fie procesate cu un parser diferit de cel atribuit inițial. Acest lucru permite o gestionare mai bună a evenimentelor clasificate greșit, o parsare îmbunătățită sau o procesare personalizată, fără a modifica definițiile originale ale evenimentelor.
Pentru informații detaliate despre funcționalitatea Tag Alias și configurarea avansată, consultați: Tag Alias
UEBA Manager
UEBA Manager ajută organizațiile să detecteze și să răspundă mai eficient la potențialele amenințări de securitate, reducând riscul de breșe de date și de utilizare abuzivă din interior, consolidând în același timp securitatea de ansamblu. Acesta identifică comportamentele neobișnuite ale utilizatorilor, cum ar fi accesarea datelor în afara orelor normale, conectarea din locații nefamiliare sau descărcarea unor cantități mari de informații. Prin recunoașterea acestor tipare, UEBA Manager permite detectarea și răspunsul rapid la activitățile suspecte.
Navigați la Settings > Management > UEBA Manager în Web Interface pentru a accesa dashboard-ul de gestionare UEBA. Această interfață oferă control centralizat asupra configurațiilor de analiză comportamentală, a apartenențelor la grupuri și a setărilor de monitorizare.

Pentru informații detaliate despre capabilitățile UEBA și configurarea avansată, consultați: How to manage UEBA
Data Storages
Gestionarea Data Storage oferă control centralizat asupra modului în care datele sunt colectate, procesate și stocate în CYBERQUEST. Administratorii pot configura setările de stocare, cozile de mesaje, opțiunile de criptare și integrările cu sisteme externe, cum ar fi Elasticsearch.
Navigați la Settings > Application Settings > Data Storage în Web Interface pentru a accesa pagina de configurare a stocării datelor. Această interfață oferă o modalitate ușor de utilizat de a configura parametrii de stocare fără a edita direct fișierele de configurare.
Pagina de configurare Data Storage afișează toți parametrii configurabili:

Data Storage Configuration permite configurarea avansată a componentelor de stocare a datelor utilizate de CYBERQUEST. Pentru a modifica configurația, deschideți fișierul /var/opt/cyberquest/datastorage/conf.xml pe serverul CYBERQUEST.
Toți parametrii configurabili sunt enumerați în tabelul de mai jos:
| Parametru | Descriere | Valoare implicită |
|---|---|---|
| dbDriver | Clasa driverului JDBC pentru baza de date MySQL | com.mysql.jdbc.Driver |
| dbUserName | Numele de utilizator al bazei de date pentru accesul la configurație | root |
| dbPass | Parola bazei de date pentru accesul la configurație | **** |
| dbUrl | URL-ul de conexiune JDBC pentru baza de date principală | jdbc:mysql://127.0.0.1:3306/config |
| dbAlternateUrl | URL-ul de conexiune JDBC pentru baza de date de failover | jdbc:mysql://127.0.0.1:3306/config |
| serverGuid | Identificator unic pentru instanța serverului | D39498A9-1C85-0379-1E78-C161E6FFEEEA |
Pentru a modifica o variabilă, faceți clic pe butonul Edit. După efectuarea modificărilor, faceți clic pe Save pentru a le aplica sau pe Cancel pentru a le renunța.
Toate variabilele configurabile sunt enumerate în tabelul de mai jos.
| Parametru | Descriere | Valoare implicită |
|---|---|---|
| maxEventsPerFile | Numărul maxim de evenimente pe fișier de stocare | 20000 |
| fileWriterTimeout | Timeout pentru operațiunile writer-ului de evenimente (secunde) | 60 |
| mqUserName | Numele de utilizator pentru autentificarea la serviciul MQ | cq |
| mqPassword | Parola pentru autentificarea la serviciul MQ | **** |
| mqHost | Hostname-ul sau adresa IP a serverului MQ | 127.0.0.1 |
| mqVhost | Serverul virtual al serviciului MQ. În arhitecturile distribuite, poate diferi de serverul CYBERQUEST implicit | / |
| mqPort | Portul de rețea pentru comunicarea MQ | 5672 |
| mqExchangeName | Numele de exchange implicit pentru procesarea evenimentelor | eventsExchange |
| mqQueueName | Numele cozii MQ | jobCommands |
| mqReceiveQueueType | Tipul cozii MQ Receive | fanout |
| mqRouting | Calea de rutare pentru cozile de mesaje | agents |
| mqReceiveCommandExchangeName | Numele de exchange al comenzii MQ Receive | eventsExchange |
| mqReceiveCommandQueueName | Specifică numele cozii de comandă MQ Receive | jobCommands |
| mqReceiveCommandQueueType | Specifică tipul cozii de comandă MQ Receive | direct |
| mqReceiveCommandRouting | Specifică calea de rutare a comenzii MQ Receive | servers |
| mqSendExchangeName | Numele de exchange MQ Send | |
| mqSendQueueName | Specifică numele cozii MQ Send | archive |
| mqSendRouting | Specifică calea de rutare MQ Send | agents |
| mqSendQueueType | Specifică tipul cozii MQ Send | direct |
| encryptionPublicKeyFilePath | Calea către fișierul cu cheia publică pentru criptare | /var/opt/cyberquest/encryption/datastorage/public_key.txt |
| encryptionPrivateKeyFilePath | Calea către fișierul cu cheia privată pentru decriptare | /var/opt/cyberquest/encryption/datastorage/private_key.txt |
| elasticClusterName | Numele clusterului Online DataStorage | ES. |
| elasticHostName | Adresa gazdei Elasticsearch | 127.0.0.1 |
| encryptionPrivateKeyPassword | Parola pentru criptarea cheii private | *** |
| encryptionPrivateKeyPasswordPath | Calea către fișierul care conține parola cheii private | /var/opt/cyberquest/encryption/datastorage/privateKeyPassword.txt |
| fileImportThreads | Câte fire de execuție sunt folosite pentru import | 5 |
| mqQueueType | Specifică tipul cozii | direct |
| mqReceiveExchangeName | Specifică numele de exchange MQ Receive | DA.publish |
| mqReceiveQueueName | Numele cozii MQ Receive | DataStorage |
| mqReceiveRouting | Specifică cheia de rutare MQ Receive | agents |
| mqAlternateHost | Numele gazdei alternative de utilizat dacă coada curentă este inactivă | 127.0.0.1 |
| mqVHost | Hostul virtual MQ Receive | / |
| elasticUserName | Numele de utilizator Online DataStorage | cq |
| elasticPassword | Parola pentru autentificarea Online DataStorage | *** |
| ElasticSearchIsHttpsConnection | Activează HTTPS pentru comunicarea Online DataStorage | 1 |
| ElasticSearchIsUserAuth | Activează autentificarea utilizatorului pentru Online DataStorage | 1 |
Lista de mai jos oferă exemple de joburi definite.
- How to restore data from archive
- How to create a Copy job
- How to create a RTBF job
- How to delete data from Data Storage
Data Sources Status
Data Sources Status - afișează informații în timp real despre starea de sănătate și performanța tuturor activităților de colectare a datelor. Ajută administratorii să se asigure că sursele de date colectează activ evenimente, să identifice rapid orice probleme și să mențină un flux continuu de date pentru monitorizare și analiză.
Navigați la Settings > Management > Data Sources Status în Web Interface pentru a accesa dashboard-ul de monitorizare a surselor de date. Această interfață oferă o vizualizare centralizată a tuturor activităților de colectare a datelor.

Starea sursei de date este afișată folosind indicatori codificați prin culori pentru o evaluare vizuală rapidă:
🟢 Collecting (Verde): sursa de date colectează activ evenimente și le transmite către CYBERQUEST
🟡 Waiting for Next Collection (Galben): sursă de date programată care își așteaptă următorul ciclu de colectare
🔴 Stopped or Critical Error (Roșu): colectarea datelor s-a oprit din cauza unei erori critice sau a unei probleme de configurare
⚫ Disabled (Negru/Gri): sursa de date a fost dezactivată manual de către administrator
O pictogramă
indică faptul că colectarea este programată să se execute la intervale de timp definite, în timp ce sursele fără această pictogramă se execută în timp real.
Lista poate fi sortată după orice coloană sau exportată făcând clic pe butonul
.
Deoarece CYBERQUEST poate gestiona un număr mare de colectări de date, lista cu starea colectării poate deveni lungă. Pot fi afișate până la 100 de intrări pe pagină. Evitați combinarea multor intrări cu reîmprospătarea automată a paginii pentru a preveni problemele de performanță.
Meniul Columns din partea de sus a paginii permite selectarea coloanelor care sunt afișate pentru toate intrările. Detaliile pentru fiecare coloană sunt enumerate în tabelul de mai jos.
| Câmp | Descriere |
|---|---|
| Computer Name | Numele sursei (adresa IP de rețea sau FQDN rezolvat) |
| Log Name | Numele sursei de jurnal |
| Type | Categoria tipului de jurnal |
| Messages | Numărul de evenimente colectate |
| Last Received Time | Ultima oră curentă la care s-au primit date de la sursă |
| Last Local Time | Ultima oră a dispozitivului la care s-au primit date de la sursă |
| Last Update Time | Ultima dată când s-a făcut o modificare pentru sursa de date |
| Last Message | Ultimul mesaj de la colectorul de date |
| Last Error | Ultimul mesaj de eroare de la colectorul de date |
| Next Collection | Data și ora la care va începe următoarea colectare |
| Producer | Modulul sau agentul care a colectat evenimentele |
| Producer Uptime | Timpul de funcționare al modulului sau agentului care colectează evenimente |
| Extra Data | Comentarii suplimentare sau informații contextuale |
| Alert Interval Minutes | Intervalul de timp pentru verificarea stării sursei |
Networks
Secțiunea Management > Networks permite administratorilor să organizeze și să configureze segmentele de rețea din întreaga infrastructură. Rețelele pot fi clasificate după zonă și tenant, ceea ce ajută la îmbunătățirea acurateței monitorizării și a scorului de securitate.
Crearea unei noi rețele
Faceți clic pe butonul de creare
din pagina de gestionare Networks.
Se va deschide fereastra de configurare Add network:

Name - un nume descriptiv pentru segmentul de rețea, pentru a-l identifica ușor.
IP Range - intervalul de adrese IP care aparțin acestui segment de rețea (de ex., 192.168.10.0/24).
Security Score - o valoare numerică care reprezintă nivelul de securitate al rețelei sau evaluarea riscului.
Network Zone - clasificarea rețelei, cum ar fi Internal Network, Internal Network, DMZ, Internal Cloud sau External Cloud, pentru o monitorizare și o aplicare a politicilor mai bune.
Tenant - unitatea organizațională, echipa sau grupul responsabil de sau asociat cu segmentul de rețea.
Odată ce o rețea este creată, asupra ei pot fi efectuate următoarele acțiuni:

Edit Network - actualizează configurația și setările rețelei. Modificările intră în vigoare imediat.
Delete Network - elimină rețeaua din sistem. Este necesară o confirmare pentru a preveni ștergerea accidentală.
Check IP permite administratorilor să verifice dacă o anumită adresă IP aparține unui segment de rețea definit, apăsând butonul
. Acest lucru ajută la asigurarea unei mapări corecte a rețelei, a unei monitorizări adecvate și a unei atribuiri corecte a politicilor de securitate.

IP - introduceți adresa IP pentru a verifica cărui segment de rețea îi aparține.
Tenant - selectați unitatea organizațională sau grupul pentru a verifica IP-ul față de segmentele de rețea atribuite.
După introducerea informațiilor, faceți clic pe Check pentru a verifica IP-ul sau pe Cancel pentru a ieși fără a verifica.
PlayBooks
Playbooks - automatizează și simplifică procesul de răspuns la incidente, ajutând echipele de securitate să răspundă rapid și eficient la amenințări. Acestea respectă cele mai bune practici din industrie, reglementările și politicile organizaționale pentru a asigura o abordare consecventă și coordonată, care reduce impactul incidentelor de securitate și permite o remediere rapidă.
Pentru a accesa interfața Playbooks, navigați la Settings > Management > Playbooks. Pagina se va deschide apoi.

- Event Trigger: CYBERQUEST detectează un eveniment suspect, cum ar fi o tentativă de intruziune în rețea sau o alertă de severitate ridicată de la un dispozitiv de securitate. Execuția unui playbook poate fi declanșată automat de o alertă sau manual din acțiunile asupra unui eveniment sau a unei alerte.
Playbook-urile pot fi adăugate, editate sau șterse după nevoie.
Adăugarea unui Playbook
Pentru a adăuga un nou Playbook și a orchestra acțiuni, faceți clic pe New Playbook. Playbook-urile sunt construite vizual, cu două blocuri obligatorii: Start și End.
Acțiunile sunt executate conform criteriilor stabilite în Playbook. Acțiunile disponibile sunt grupate după furnizor și pot fi adăugate prin drag-and-drop.

Anumite acțiuni sunt declanșate doar atunci când sunt îndeplinite condiții specifice.
Acțiunile partajează informații printr-un obiect de mediu, care stochează datele despre alertă sau eveniment ce pot fi utilizate de acțiunile ulterioare.
Obiectul de mediu este definit după cum urmează:
{
"Event":{
// ... the event which gets populated automatically by CyberQuest
},
"Alert":{
// ... the alert which gets populated automatically by CyberQuest
}
"playbookGUID": // the individual playbook definition,
"startDate": 1685004728 // unix timestamp
"endDate": 1685004728 // timestamp
"status": "SUCCESS"
"history":[
{
"inputEnviroment":{
// gets populated on the input enviroment of the individual step
},
"outputEnviroment":{
// gets populated on the output enviroment of the individual step
},
"startDate": 1685004728 // unix timestamp
"endDate": 1685004728 // timestamp
"status": "SUCCESS"
}
]
}
În timpul execuției, CYBERQUEST actualizează obiectul de mediu pentru a înregistra istoricul execuției și detaliile jurnalului. Toate acțiunile au acces la acest obiect.
Execution History
Fiecare acțiune creează jurnale de execuție care ajută la depanarea Playbook-urilor și a acțiunilor. Dacă apare o eroare, aceste jurnale pot fi consultate pentru a identifica cauza, ușurând depanarea și asigurând că Playbook-urile rulează corect și fiabil.

Jurnalele de playbook pot fi descărcate în format .txt făcând clic pe butonul
sau vizualizate făcând clic pe butonul
.
Vizualizarea istoricului de execuție
Faceți clic pe butonul
din Execution History pentru a vizualiza parametrii de intrare și datele de ieșire pentru fiecare pas al execuției.

Service Level Agreement (SLA) Management
Service Level Agreements (SLA-urile) din CYBERQUEST oferă un cadru structurat pentru definirea și aplicarea angajamentelor privind timpii de răspuns și de rezolvare pentru incidentele și cazurile de securitate. SLA-urile asigură că echipele de securitate respectă standardele de performanță organizaționale, se conformează cerințelor de reglementare și mențin termene consecvente de răspuns la incidente. Prin automatizarea urmăririi timpului și a proceselor de escaladare, SLA-urile ajută la optimizarea alocării resurselor și la îmbunătățirea eficienței generale a operațiunilor de securitate.
Navigați la Settings > Management > Service Level Agreement (SLA) în Web Interface pentru a accesa pagina de gestionare a SLA. Această interfață afișează toate SLA-urile configurate și oferă instrumente pentru crearea, editarea și gestionarea definițiilor de SLA.

Name: nume descriptiv pentru SLA care indică în mod clar scopul și domeniul de aplicare (de ex., „Critical Incident SLA”).
Description: explicație cuprinzătoare a scopului SLA-ului, a scenariilor aplicabile și a oricăror considerații speciale.
Case Types: selectați unul sau mai multe tipuri de caz din lista derulantă cărora li se va aplica acest SLA. Aceste tipuri de caz sunt predefinite în Case Management și reprezintă categorii de incidente.
Confirmation Time (minutes): timpul maxim permis pentru confirmarea și atribuirea unui caz după crearea acestuia. Acesta reprezintă angajamentul de răspuns inițial.
Response Time (minutes): timpul maxim permis pentru rezolvarea unui caz după confirmare. Acesta reprezintă angajamentul de rezolvare.
Faceți clic pe „Save” pentru a păstra configurația sau pe „Cancel” pentru a renunța la modificări.
Odată ce un SLA este creat, asupra lui pot fi efectuate următoarele acțiuni:

Editarea SLA-urilor - modificați parametrii SLA, asocierile cu tipurile de caz sau angajamentele de timp folosind butonul Edit
. Modificările intră în vigoare imediat pentru toate cazurile active și viitoare, în timp ce datele istorice privind conformitatea SLA rămân neschimbate.Ștergerea SLA-urilor - eliminați un SLA folosind butonul Delete
. Este necesară o confirmare pentru a preveni ștergerea accidentală. SLA-urile șterse nu se mai aplică cazurilor viitoare, dar datele istorice sunt păstrate.
Timpii de confirmare și de răspuns ai cazului sunt determinați automat de SLA-ul atribuit: Case Overview
Analyst Actions Management
Analyst Actions din CYBERQUEST oferă o capabilitate de automatizare de tip human-in-the-loop care permite playbook-urilor să întrerupă execuția și să solicite intrare sau confirmare din partea analiștilor de securitate în puncte critice de decizie. Această funcție permite fluxurilor de lucru automatizate să încorporeze judecata umană, expertiza și conștientizarea situațională, asigurând că deciziile de securitate complexe beneficiază atât de eficiența automatizată, cât și de supravegherea umană. Analyst Actions sunt esențiale pentru scenariile care necesită considerații etice, conformitate legală, evaluarea riscurilor sau o judecată complexă care nu poate fi automatizată complet.
Navigați la Settings > Management > Analyst Actions în Web Interface pentru a accesa interfața de gestionare Analyst Actions. Această pagină afișează toate întrebările în așteptare adresate analiștilor și oferă instrumente pentru gestionarea și răspunsul la acestea.

Pentru a continua execuția, analistul trebuie să răspundă atunci când i se solicită. Dacă nu se oferă niciun răspuns în limita de timp setată în modulul de acțiune, acțiunea implicită definită la nivel de acțiune va fi aplicată automat.
Pentru a răspunde la o acțiune de tip Analyst Confirmation:
- Faceți clic pe butonul de confirmare
de lângă acțiune - Se va deschide fereastra de confirmare cu detaliile solicitării:

Pentru a răspunde la o acțiune de tip Analyst Input:
- Faceți clic pe butonul de intrare
de lângă acțiune - Se va deschide fereastra formularului de intrare cu detaliile solicitării:

Odată ce răspunsul este salvat, acțiunea este eliminată, iar execuția continuă folosind răspunsul furnizat.
Internal Security Documents
Modulul Internal Security Documents este depozitul centralizat pentru toate fișierele legate de guvernanța internă, controalele de securitate, procedurile operaționale și dovezile de conformitate. Servește drept arhivă permanentă a organizației, asigurând accesibilitatea și trasabilitatea pe termen lung a tuturor materialelor încărcate.
Navigați la Settings > Management > Internal security documents în Web Interface pentru a accesa interfața de gestionare Internal security documents.

Acest modul permite utilizatorilor să:
- Încarce documente interne de securitate sau legate de conformitate
- Vizualizeze toate documentele istorice și curente într-o singură arhivă consolidată
- Descarce/exporte fișiere pentru audituri, revizuiri interne sau solicitări de reglementare
- Șteargă documente învechite sau irelevante (această acțiune afectează doar acest depozit)
- Mențină o evidență independentă a fiecărei versiuni și a fiecărui eveniment de încărcare de-a lungul timpului
Depozitul folosește un model de retenție non-distructiv:
- Fiecare încărcare apare ca o intrare separată
- Versiunile actualizate nu le suprascriu pe cele mai vechi
- Un istoric cronologic complet este păstrat, cu excepția cazului în care fișierele sunt șterse manual
DORA Journey
Modulul DORA Journey ghidează organizațiile prin procesul de conformitate cu Digital Operational Resilience Act (DORA). Fiecare cerință, articol sau capitol poate necesita documentație justificativă (dovezi).

La îndeplinirea unei cerințe DORA:
Utilizatorii trebuie să încarce documentele direct din interfața DORA Journey
Aceste fișiere sunt atașate ca dovezi exclusiv cerinței selectate
All requirements met?
Marchează secțiunea ca finalizată odată ce au fost furnizate toate dovezile și acțiunile obligatorii.
Important: Documentele deja stocate în Internal Security Documents nu pot fi selectate sau reutilizate în DORA Journey. Pentru fiecare dovadă sunt întotdeauna necesare încărcări noi.
Ce se întâmplă cu documentele încărcate în DORA Journey
Orice document încărcat în DORA Journey este:
- Stocat ca dovadă în cerința DORA specifică
- Adăugat automat ca o intrare separată în depozitul Internal Security Documents
Dacă un document este ulterior eliminat sau înlocuit în DORA Journey:
- Eliminarea se aplică doar în DORA Journey
- Versiunea originală și cele anterioare rămân păstrate în Internal Security Documents
Interacțiunea dintre Internal security documents și DORA Journey
Deși funcționează separat, modulele interacționează într-un mod structurat:
Încărcare din Internal Security Documents - NU este disponibilă în DORA Journey
Încărcare din DORA Journey - stocată automat în Internal Security Documents
Modulul Internal Security Documents funcționează ca o arhivă permanentă, păstrând fiecare versiune a fiecărui fișier încărcat. Modulul DORA Journey, în schimb, este dedicat exclusiv transmiterii de dovezi pentru cerințele DORA și necesită întotdeauna încărcări noi; orice ștergeri sau actualizări efectuate în DORA Journey nu au niciun impact asupra documentelor stocate în Internal Security Documents.
Case Templates
Case Templates din CYBERQUEST permit administratorilor să definească structuri de câmpuri reutilizabile pentru crearea cazurilor, asigurând consecvență și eficiență pentru toate cazurile. Fiecare șablon conține câmpuri predefinite care pot captura informații în patru formate: text, boolean (true/false), select (opțiuni dintr-o listă derulantă) și float (valori numerice cu zecimale).
Șabloanele pot include:
- Câmpuri text pentru introducerea de informații în formă liberă, cum ar fi nume de utilizator sau descrieri.
- Câmpuri select pentru alegerea dintre opțiuni predefinite.
- Câmpuri boolean pentru intrări simple de tip da/nu sau true/false.
- Câmpuri float pentru valori numerice cu zecimale.



Odată ce un Case Template este creat, acesta poate fi folosit pentru a genera cazuri noi în modulul Case Management. Acest lucru asigură că fiecare caz respectă aceeași structură predefinită și captează toate detaliile necesare pentru analiză, raportare și urmărire.
Crearea unui nou caz folosind un Case Template
Pentru a crea un nou caz folosind un șablon de caz, navigați la Case Management > New Case, selectați șablonul dorit din lista derulantă Template, completați detaliile necesare ale cazului și salvați.

