Documentație
CYBERQUEST Smart Objects
Descriere
Interfața Web a CYBERQUEST include secțiunea administrativă necesară pentru configurarea vizuală a sistemului dumneavoastră de audit.
În procesul de colectare a jurnalelor, CYBERQUEST generează evenimente în anumite situații de interes pentru a îmbunătăți procesul de investigare sau pentru a citi informații din sursa nativă de jurnale. Aceste evenimente generate sunt compuse din informații provenite din unul sau mai multe fluxuri de date.
Smart Objects sunt configurate în interfața web sub Settings > Application Settings > Smart Objects.
Fiecare scenariu de mai jos descrie un Smart Object specific, inclusiv scopul său, EventID-ul, condițiile prealabile, fereastra de retenție a istoricului și cheia de configurare utilizată pentru activarea sau dezactivarea acestuia.
Cazuri de utilizare
Scenariul 1 - Windows Success Interactive Logon Activity
- Scop - identificarea, în mediul Microsoft Windows, a unei noi autentificări interactive a unui utilizator pe o stație diferită de cele din istoricul de autentificare.
- Descriere - EventID: 9150001, se generează un nou eveniment care conține detalii despre utilizator și noua stație pe care s-a autentificat interactiv. Conține, de asemenea, informații istorice despre stațiile pe care s-a autentificat interactiv (MS Windows EventID 4624, logon type 2).
- Condiții prealabile - Windows Security Auditing.
- Retenția istoricului evenimentelor anterioare - 30 de zile.
- On/Off - SmartObjects_WindowsSuccessInteractiveLogonActivity
Scenariul 2 - Windows Success Network Logon Activity
- Scop - identificarea, în mediul Microsoft Windows, a unei noi autentificări de rețea comparativ cu cele istorice (conectarea la un folder partajat de pe un computer din rețea).
- Descriere - EventID: 9150002, se generează un nou eveniment care conține detalii despre utilizator și IP-ul de rețea pe care s-a autentificat. Conține, de asemenea, informații istorice despre resursele de rețea la care s-a autentificat (MS Windows EventID 4624, logon type 3). Autentificarea se poate realiza în cel puțin 2 moduri: interactiv (stația trimite cererea de autentificare către Active Directory) sau pe baza unui acces la o resursă partajată din rețea.
- Condiții prealabile - Windows Security Auditing.
- Retenția istoricului evenimentelor anterioare - 30 de zile.
- On/Off - SmartObjects_WindowsSuccessNetworkLogonActivity
Scenariul 3 - Windows Success Batch Logon Activity
- Scop - identificarea, în mediul Microsoft Windows, a unei noi autentificări de tip batch comparativ cu cele din istoric (de exemplu, o sarcină programată).
- Descriere - EventID: 9150003, se generează un nou eveniment care conține detalii despre utilizator și IP-ul de rețea pe care s-a autentificat. Conține, de asemenea, informații istorice despre autentificările batch anterioare (MS Windows EventID 4624, logon type 4).
- Condiții prealabile - Windows Security Auditing.
- Retenția istoricului evenimentelor anterioare - 30 de zile.
- On/Off - SmartObjects_WindowsSuccessBatchLogonActivity
Scenariul 4 - Windows Success Service Logon Activity
- Scop - identificarea, în mediul Microsoft Windows, a unei noi autentificări de serviciu comparativ cu cele istorice (de exemplu, pornirea unui serviciu).
- Descriere - EventID: 9150004, se generează un nou eveniment care conține detalii despre serviciu și IP-ul din rețea pe care s-a autentificat. Conține, de asemenea, informații istorice despre autentificările anterioare (MS Windows EventID 4624, logon type 5).
- Condiții prealabile - Windows Security Auditing.
- Retenția istoricului evenimentelor anterioare - 1 an.
- On/Off - SmartObjects_WindowsSuccessServiceLogonActivity
Scenariul 5 - Windows Success Network Cleartext Logon Activity
- Scop - identificarea, în mediul Microsoft Windows, a unui nou tip de autentificare Cleartext comparativ cu cel istoric (în care parola este transmisă în clar. Autentificare cu credențiale trimise în text clar. Indică cel mai adesea o autentificare la IIS cu “basic authentication”).
- Descriere - EventID: 9150005, se generează un nou eveniment care conține detalii despre utilizator și IP-ul din rețea la care s-a autentificat. Conține, de asemenea, informații istorice despre autentificările anterioare (MS Windows EventID 4624, logon type 8).
- Condiții prealabile - Windows Security Auditing.
- Retenția istoricului evenimentelor anterioare - 30 de zile.
- On/Off - SmartObjects_WindowsSuccessNetworkCleartextLogonActivity
**Scenariul 6 ** - Windows Success Remote Interactive Logon Activity
- Scop - identificarea, în mediul Microsoft Windows, a unei noi autentificări interactive la distanță în plus față de cele din istoric (Terminal Services, Remote Desktop sau Remote Assistance).
- Descriere - EventID: 9150006, se generează un nou eveniment care conține detalii despre utilizator și IP-ul de rețea care s-a autentificat. Conține, de asemenea, informații istorice despre autentificările anterioare (MS Windows EventID 4624, logon type 10).
- Condiții prealabile - Windows Security Auditing.
- Retenția istoricului evenimentelor anterioare - 30 de zile.
- On/Off - SmartObjects_WindowsSuccessRemoteInteractiveLogonActivity
Scenariul 7 - Windows Success Cached Interactive Logon Activity
- Scop - identificarea, în mediul Microsoft Windows, a unei autentificări din cache după o perioadă de pauză de cel puțin 3 luni.
- Descriere - EventID: 9150007, se generează un nou eveniment care conține detalii despre utilizator și IP-ul de rețea care s-a autentificat. Conține, de asemenea, informații istorice despre autentificările anterioare (MS Windows EventID 4624, logon type 11).
- Condiții prealabile - Windows Security Auditing.
- Retenția istoricului evenimentelor anterioare - 30 de zile.
- On/Off - SmartObjects_WindowsSuccessCachedInteractiveLogonActivity
Scenariul 8 - Windows Failed Interactive Logon Activity
- Scop - identificarea, în mediul Microsoft Windows, a unei autentificări interactive eșuate pe o stație diferită de cele din istoric (parola tastată/de la tastatură a utilizatorului).
- Descriere - EventID: 9150011, se generează un nou eveniment care conține detalii despre utilizator și IP-ul din rețea pe care s-a autentificat. Conține, de asemenea, informații istorice despre autentificările anterioare (MS Windows EventID 4625, logon type 2).
- Condiții prealabile - Windows Security Auditing.
- Retenția istoricului evenimentelor anterioare - 30 de zile.
- On/Off - SmartObjects_WindowsFailedInteractiveLogonActivity
Scenariul 9 - Windows Failed Network Logon Activity
- Scop - identificarea, în mediul Microsoft Windows, a unei noi autentificări de rețea eșuate comparativ cu cea istorică (conectarea la un folder partajat de pe un computer din rețea).
- Descriere - EventID: 9150012, se generează un nou eveniment care conține detalii despre utilizator și IP-ul din rețea pe care s-a autentificat. Conține, de asemenea, informații istorice despre autentificările anterioare (MS Windows EventID 4625, logon type 3).
- Condiții prealabile - Windows Security Auditing.
- Retenția istoricului evenimentelor anterioare - 30 de zile.
- On/Off - SmartObjects_WindowsFailedNetworkLogonActivity
Scenariul 10 - Windows Success Service Activity Service
- Scop - identificarea, în mediul Microsoft Windows, a autentificărilor pentru servicii noi de rețea.
- Descriere - EventID: 9150051, se generează un nou eveniment care conține detalii despre mașina din rețea care s-a autentificat și noul serviciu înregistrat (MS Windows EventID 4624, logon type 5). În acest fel se obține trasabilitatea instalării de servicii noi la nivelul organizației.
- Condiții prealabile - Windows Security Auditing.
- Retenția istoricului evenimentelor anterioare - 1 an.
- On/Off - SmartObjects_WindowsSuccessServiceActivityService
Scenariul 11 - Windows Success Service Activity Service User
- Scop - identificarea, în mediul Microsoft Windows, a unor noi autentificări de rețea față de cele din istoric, de tip serviciu rulat sub un utilizator.
- Descriere - EventID: 9150052, se generează un nou eveniment care conține detalii despre mașina din rețea care s-a autentificat și combinația serviciu/utilizator nou înregistrată (MS Windows EventID 4624, logon type 5). În acest fel se obține trasabilitatea instalării de servicii noi autentificate de alți utilizatori la nivelul organizației.
- Condiții prealabile - Windows Security Auditing.
- Retenția istoricului evenimentelor anterioare - 1 an.
- On/Off - SmartObjects_WindowsSuccessServiceActivityServiceUser
Scenariul 12 - Windows Success Service Activity Service Computer
- Scop - identificarea, în mediul Microsoft Windows, a unor noi autentificări de rețea față de cele din istoric, ca serviciu rulat pe o mașină.
- Descriere - EventID: 9150053, se generează un nou eveniment care conține detalii despre mașina din rețea care s-a autentificat și combinația serviciu/utilizator nou înregistrată (MS Windows EventID 4624, logon type 5). În acest fel se obține trasabilitatea instalării de servicii noi autentificate de alte computere din organizație.
- Condiții prealabile - Windows Security Auditing.
- Retenția istoricului evenimentelor anterioare - 1 an.
- On/Off - SmartObjects_WindowsSuccessServiceActivityServiceComputer
Scenariul 13 - Windows Failed Service Activity Service
- Scop - identificarea, în mediul Microsoft Windows, a autentificărilor eșuate pentru servicii noi de rețea.
- Descriere - EventID: 9150061, se generează un nou eveniment care conține detalii despre mașina din rețea pe care autentificarea a eșuat și noul serviciu înregistrat (MS Windows EventID 4625, logon type 5).
- Condiții prealabile - Windows Security Auditing.
- Retenția istoricului evenimentelor anterioare - 1 an.
- On/Off - SmartObjects_WindowsFailedServiceActivityService
Scenariul 14 - Windows Failed Service Activity Service User
- Scop - identificarea, în mediul Microsoft Windows, a unor noi autentificări de rețea eșuate față de cele din istoric, de tipul serviciu rulat sub un utilizator.
- Descriere - EventID: 9150062, se generează un nou eveniment care conține detalii despre mașina din rețea care s-a autentificat și combinația serviciu/utilizator nou înregistrată (MS Windows EventID 4625, logon type 5).
- Condiții prealabile - Windows Security Auditing.
- Retenția istoricului evenimentelor anterioare - 1 an.
- On/Off - SmartObjects_WindowsFailedServiceActivityServiceUser
Scenariul 15 - Windows Failed Service Activity Service Computer
- Scop - identificarea, în mediul Microsoft Windows, a unor noi autentificări de rețea eșuate față de cele din istoric, de tipul serviciu rulat pe o mașină.
- Descriere - EventID: 9150063, se generează un nou eveniment care conține detalii despre mașina din rețea care s-a autentificat și noua combinație serviciu/utilizator înregistrată (MS Windows EventID 4625, logon type 5).
- Condiții prealabile - Windows Security Auditing.
- Retenția istoricului evenimentelor anterioare - 1 an.
- On/Off - SmartObjects_WindowsFailedServiceActivityServiceComputer
Scenariul 16 - Linux Success Logon Activity SSH
- Scop - identificarea, în mediile Linux, a unor noi autentificări SSH față de cele istorice.
- Descriere - EventID: 9150101, se generează un nou eveniment care conține detalii despre utilizator și mașina Linux pe care s-a autentificat prin SSH.
- Condiții prealabile - Event forwarding.
- Retenția istoricului evenimentelor anterioare - 30 de zile.
- On/Off - SmartObjects_LinuxSuccessSshdLogonActivity
Scenariul 17 - Linux Success Logon Activity Sudo
- Scop - identificarea, în mediile Linux, a unor noi autentificări SUDO față de cele istorice.
- Descriere - EventID: 9150102, se generează un nou eveniment care conține detalii despre utilizator și mașina Linux pe care s-a autentificat prin SUDO.
- Condiții prealabile - Event forwarding.
- Retenția istoricului evenimentelor anterioare - 30 de zile.
- On/Off - SmartObjects_LinuxSuccessSudoLogonActivity
Scenariul 18 - Linux Success Logon Activity Su Computer
- Scop - identificarea, în mediile Linux, a unor noi autentificări SU față de cele istorice, organizate pe computer.
- Descriere - EventID: 9150103, se generează un nou eveniment care conține detalii despre utilizator și mașina Linux pe care s-a autentificat prin SU.
- Condiții prealabile - Event forwarding.
- Retenția istoricului evenimentelor anterioare - 30 de zile.
- On/Off - SmartObjects_LinuxSuccessSuComputerLogonActivity
Scenariul 19 - Linux Success Logon Activity Su SrcIP
- Scop - identificarea, în mediile Linux, a unor noi autentificări SU față de cele istorice, organizate pe IP-ul sursă.
- Descriere - EventID: 9150104, se generează un nou eveniment care conține detalii despre utilizator și IP-ul pe care s-a autentificat prin SU.
- Condiții prealabile - Event forwarding.
- Retenția istoricului evenimentelor anterioare - 30 de zile.
- On/Off - SmartObjects_LinuxSuccessSuSrcIPLogonActivity
Scenariul 20 - Linux Failed Logon Activity SSH
- Scop - identificarea, în mediile Linux, a unor noi autentificări SSH eșuate față de cele istorice.
- Descriere - EventID: 9150151, se generează un nou eveniment care conține detalii despre utilizator și mașina Linux pe care autentificarea SSH a eșuat.
- Condiții prealabile - Event forwarding.
- Retenția istoricului evenimentelor anterioare - 30 de zile.
- On/Off - SmartObjects_LinuxFailedSshdLogonActivity
Scenariul 21 - VPN Success Logon Activity by Country
- Scop - monitorizează dacă o nouă combinație nume de utilizator/geolocație s-a autentificat cu succes în organizație pe VPN față de istoric. Disponibil doar pentru openVPN și FortiGate. Organizare după țara de autentificare.
- Descriere - EventID: 9150201, se generează un nou eveniment care conține detalii despre utilizator și țara din care s-a efectuat autentificarea VPN.
- Condiții prealabile - FortiGate și Qnap.
- Retenția istoricului evenimentelor anterioare - 30 de zile.
- On/Off - SmartObjects_VPNByCountrySuccessLogonActivity
Scenariul 22 - VPN Success Logon Activity by ClientIP
- Scop - monitorizează dacă o nouă combinație nume de utilizator/geolocație s-a autentificat cu succes în organizație pe VPN față de istoric. Disponibil doar pentru openVPN și FortiGate. Organizare după IP-ul de la care s-a autentificat.
- Descriere - EventID: 9150202, se generează un nou eveniment care conține detalii despre utilizator și IP-ul de la care s-a efectuat autentificarea VPN.
- Condiții prealabile - FortiGate și Qnap.
- Retenția istoricului evenimentelor anterioare - 30 de zile.
- On/Off - SmartObjects_VPNByClientIPSuccessLogonActivity
Scenariul 23 - An object was moved from _SourceFile_ to _Destination_
- Scop - identificarea, în mediile Microsoft Windows, a fișierelor mutate, cu locația de dinainte și de după mutare.
- Descriere - EventID: 580466301, se generează un nou eveniment care conține detalii despre numele și calea fișierului înainte și după mutare.
- Condiții prealabile - Windows Object Access activat și folder cu auditare activată (la nivel de Windows).
Scenariul 24 - An object was deleted
- Scop - identificarea, în mediile Microsoft Windows, a fișierelor/obiectelor șterse, cu locația și numele fișierului/obiectului.
- Descriere - EventID: 580466302, se generează un nou eveniment care conține detalii despre numele și calea fișierului șters.
- Condiții prealabile - Windows Object Access activat și folder cu auditare activată (la nivel de Windows).
Scenariul 25 - A file was created or modified
- Scop - identificarea, în mediile Microsoft Windows, a fișierelor nou create sau modificate, cu locația și numele fișierului.
- Descriere - EventID: 580466303, se generează un nou eveniment care conține detalii despre numele și calea fișierului creat/modificat.
- Condiții prealabile - Windows Object Access activat și folder cu auditare activată (la nivel de Windows).
Scenariul 26 - A new folder was created
- Scop - identificarea, în mediile Microsoft Windows, a folderelor nou create, cu locația și numele folderului.
- Descriere - EventID: 580466304, se generează un nou eveniment care conține detalii despre numele și calea folderului creat.
- Condiții prealabile - Windows Object Access activat și folder cu auditare activată (la nivel de Windows).
Scenariul 27 - An object was renamed from _SourceFile_ to _DestinationFile_
- Scop - identificarea, în mediile Microsoft Windows, a obiectelor redenumite, cu locația și numele obiectului înainte și după redenumire.
- Descriere - EventID: 580466305, se generează un nou eveniment care conține detalii despre numele și calea obiectului înainte și după redenumire.
- Condiții prealabile - Windows Object Access activat și folder cu auditare activată (la nivel de Windows).
Scenariul 28 - An object was accessed
- Scop - identificarea, în mediile Microsoft Windows, a obiectelor accesate, menționând locația și numele obiectului.
- Descriere - EventID: 580466306, se generează un nou eveniment care conține detalii despre numele și calea obiectului accesat.
- Condiții prealabile - Windows Object Access activat și folder cu auditare activată (la nivel de Windows).
Scenariul 29 - Windows Failed Batch Logon Activity
- Scop - identificarea, în mediul Microsoft Windows, a unei autentificări batch eșuate comparativ cu cele din istoric (de exemplu, o sarcină programată).
- Descriere - EventID: 9150013, se generează un nou eveniment care conține detalii despre utilizator și IP-ul de rețea pe care autentificarea a eșuat. Conține, de asemenea, informații istorice despre autentificările batch anterioare (MS Windows EventID 4625, logon type 4).
- Condiții prealabile - Windows Security Auditing.
- Retenția istoricului evenimentelor anterioare - 30 de zile.
- On/Off - SmartObjects_WindowsFailedBatchLogonActivity
Scenariul 30 - Windows Failed Service Logon Activity
- Scop - identificarea, în mediul Microsoft Windows, a unei autentificări de serviciu eșuate comparativ cu cele istorice (de exemplu, pornirea unui serviciu).
- Descriere - EventID: 9150014, se generează un nou eveniment care conține detalii despre serviciu și IP-ul din rețea pe care autentificarea a eșuat. Conține, de asemenea, informații istorice despre autentificările anterioare (MS Windows EventID 4625, logon type 5).
- Condiții prealabile - Windows Security Auditing.
- Retenția istoricului evenimentelor anterioare - 1 an.
- On/Off - SmartObjects_WindowsFailedServiceLogonActivity
Scenariul 31 - Windows Failed Network Cleartext Logon Activity
- Scop - identificarea, în mediul Microsoft Windows, a unui nou tip de autentificare Cleartext eșuată comparativ cu cea istorică (în care parola este transmisă în clar. Autentificare cu credențiale trimise în text clar. Indică cel mai adesea o autentificare la IIS cu “basic authentication”).
- Descriere - EventID: 9150015, se generează un nou eveniment care conține detalii despre utilizator și IP-ul din rețea la care autentificarea a eșuat. Conține, de asemenea, informații istorice despre autentificările anterioare (MS Windows EventID 4625, logon type 8).
- Condiții prealabile - Windows Security Auditing.
- Retenția istoricului evenimentelor anterioare - 30 de zile.
- On/Off - SmartObjects_WindowsFailedNetworkCleartextLogonActivity
Scenariul 32 - Windows Failed Remote Interactive Logon Activity
- Scop - identificarea, în mediul Microsoft Windows, a unei noi autentificări interactive la distanță eșuate în plus față de cele din istoric (Terminal Services, Remote Desktop sau Remote Assistance).
- Descriere - EventID: 9150016, se generează un nou eveniment care conține detalii despre utilizator și IP-ul de rețea pe care autentificarea a eșuat. Conține, de asemenea, informații istorice despre autentificările anterioare (MS Windows EventID 4625, logon type 10).
- Condiții prealabile - Windows Security Auditing.
- Retenția istoricului evenimentelor anterioare - 30 de zile.
- On/Off - SmartObjects_WindowsFailedRemoteInteractiveLogonActivity
Scenariul 33 - Windows Failed Cached Interactive Logon Activity
- Scop - identificarea, în mediul Microsoft Windows, a unei autentificări din cache eșuate după o perioadă de pauză de cel puțin 3 luni.
- Descriere - EventID: 9150017, se generează un nou eveniment care conține detalii despre utilizator și IP-ul de rețea pe care autentificarea a eșuat. Conține, de asemenea, informații istorice despre autentificările anterioare (MS Windows EventID 4625, logon type 11).
- Condiții prealabile - Windows Security Auditing.
- Retenția istoricului evenimentelor anterioare - 30 de zile.
- On/Off - SmartObjects_WindowsFailedRemoteInteractiveLogonActivity