Documentație
Întrebări frecvente
CYBERQUEST este o platformă sofisticată care se află deasupra tuturor datelor/aplicațiilor/senzorilor/serverelor legate de securitate, definită ca o platformă de tip Security-Driven Analytics…
1. De ce CYBERQUEST?
CYBERQUEST este o platformă sofisticată care se află deasupra tuturor datelor/aplicațiilor/senzorilor/serverelor legate de securitate, definită ca o platformă de tip Security-Driven Analytics sau „Next Generation SIEM”. Aceasta adună date valoroase din multiple surse tehnologice și le permite utilizatorilor să ia decizii critice și acționabile în timp real pentru a menține siguranța companiei.
Principalele beneficii ale soluției:
- potrivită atât pentru IMM-uri, cât și pentru Enterprise
- costuri predictibile și fără costuri ascunse – reducerea TCO
- flexibilitate nelimitată pentru datele de tip log/aplicație
- fără blocare de furnizor (vendor lock), bază de date NoSQL
- implementare rapidă End-to-End
- conformitate GDPR – adaptată standardelor din industrie
- punct unic de acces la toate datele
- reduce timpul de investigare de până la 10 ori
2. Cum este licențiat CYBERQUEST?
Soluția CYBERQUEST este disponibilă cu licențiere de tip Subscription sau Perpetual pentru On-premise.
Licențierea se bazează pe nucleele CPU (CPU Cores).
Edițiile comerciale sunt: Logger, Light, Advanced, Enterprise și Ultimate.
Pentru a verifica informații mai detaliate, urmați linkul: CYBERQUEST Licensing and Versioning
3. Care sunt cerințele de sistem pentru CYBERQUEST?
CYBERQUEST este un appliance virtual, dar poate fi instalat și ca appliance fizic.
Pentru a verifica cerințele detaliate de sistem, urmați linkul: Minimum system requirements
4. Cum pot descărca versiunea demo a CYBERQUEST?
Puteți descărca cea mai recentă versiune demo a produsului Nextgen Software de pe https://nextgensoftware.eu/.
5. Cum pot contacta echipa de suport CYBERQUEST?
Service requests pot fi accesate prin https://support.nextgensoftware.solutions/ sau prin e-mail la [email protected].
6. Care este structura înregistrărilor de tip Log pentru CYBERQUEST?
Evenimentele CYBERQUEST pot avea următoarele câmpuri:
| Categorie | Câmp | Tip | Descriere |
|---|---|---|---|
| Câmpuri generice | |||
| Category | string | Definește clasificarea evenimentului | |
| Computer | string | Numele de gazdă al sistemului care a generat evenimentul | |
| Description | string | Descrierea textuală sau mesajul asociat evenimentului | |
| DestIP | string | Adresa IP a destinației implicate în eveniment | |
| DestIP_Country_Code | string | Codul ISO de țară pentru IP-ul destinație | |
| DestIP_Country_Name | string | Numele țării asociat IP-ului destinație | |
| DestMAC | string | Adresa MAC a dispozitivului destinație | |
| EventID | long | Identificator unic atribuit evenimentului | |
| EventLog | string | Jurnalul în care a fost înregistrat evenimentul | |
| EventPath | string | Calea din sistemul de fișiere asociată evenimentului (de ex. locația fișierului sau procesului afectat) | |
| EventType | long | Specifică tipul de eveniment care a avut loc | |
| GMT | date | Marcaj temporal al evenimentului în Coordinated Universal Time (UTC) | |
| ID | string | Identificator general asociat înregistrării | |
| IsIncident | boolean | Dacă evenimentul este clasificat ca incident de securitate | |
| LocalTime | date | Marcaj temporal local al producerii evenimentului | |
| N1 … N40 | long | câmpuri numerice de uz general | |
| PlatformID | string | Identificatorul mașinii pe care a apărut evenimentul | |
| PostDtsSHA256 | string | hash-ul log-ului după trecerea prin Data Transformation Service | |
| PreDtsSHA256 | string | hash-ul log-ului înainte de trecerea prin Data Transformation Service | |
| RawData | string | date brute | |
| ReceivedTime | date | Momentul în care evenimentul a fost primit sau procesat | |
| S1 … S150 | string | câmpuri text de uz general | |
| SecondaryTag | string | etichetă secundară | |
| SessionID | string | Identificator pentru sesiunea în timpul căreia a avut loc evenimentul | |
| Source | string | Originea sau componenta legată de eveniment | |
| SrcIP | string | Adresa IP a sursei implicate în eveniment | |
| SrcIP_Country_Code | string | Codul ISO de țară pentru IP-ul sursă | |
| SrcIP_Country_Name | string | Numele țării asociat IP-ului sursă | |
| SrcMAC | string | Adresa MAC a dispozitivului sursă | |
| Tag | string | Eticheta atribuită pentru categorizarea evenimentului | |
| isLastDuplicate | Boolean care indică dacă acesta este cel mai recent duplicat dintr-o serie | ||
| Tenant | string | tenant | |
| TimeOfDay | long | momentul zilei | |
| UserDomain | string | domeniul utilizatorului | |
| UserName | string | numele de utilizator | |
| VersionMajor | long | versiunea major | |
| VersionMinor | long | versiunea minor | |
| content | string | conținut | |
| _Timestamp | SkewedOffset | long | diferența dintre timpul real și timpul mașinii |
| Time | long | este numărul de secunde … ca număr scalar real care reprezintă numărul de secunde care au trecut de la 00:00:00 UTC joi, 1 ianuarie 1970 | |
| TimeZoneOffSet | long | adăugarea celor 80 de secunde la GMT | |
| isDST | boolean | ora de vară dacă este aplicată sau nu | |
| _agent | GUID | string | Identificator unic pentru agent |
| Name | string | Numele agentului | |
| Site | string | Locația sau site-ul asociat agentului relevant | |
| _asset | Application | string | Numele aplicației asociate activului |
| Criticality | long | Nivelul de criticitate al activului (rating) | |
| Location | Locația fizică sau logică a activului | ||
| Name | string | Numele activului | |
| Owner | string | Proprietarul activului | |
| Project | string | Proiectul asociat activului | |
| SecurityValue | long | Ratingul sau valoarea de securitate a activului | |
| Site | string | Site-ul sau locația activului (oraș) | |
| _attack | DestIP | string | IP-ul destinație este adresa IP a dispozitivului către care este trimis pachetul. |
| GeoCity | string | Orașul decodat din adresa IP | |
| GeoCountry | string | Țara decodată din adresa IP | |
| Host | string | este un calculator sau alt dispozitiv care comunică cu alte gazde dintr-o rețea, inclusiv clienți și servere – care trimit sau primesc date, servicii sau aplicații | |
| GeoLat | GEO | latitudinea decodată din adresa IP | |
| GeoLong | GEO | longitudinea decodată din adresa IP | |
| Method | string | este o procedură specifică pentru realizarea sau abordarea unui lucru, în special una sistematică sau consacrată. | |
| Object | string | obiectele de rețea sunt utilizate pentru a categoriza adresele IP în diferite tipuri de entități de rețea | |
| OtherInfo | String | alte informații despre rețeaua noastră | |
| Result | boolean | rezultatul atacului | |
| SrcIP | string | IP-ul sursă este adresa IP (Internet Protocol) a dispozitivului care trimite pachetul IP (unitatea IP de transfer de date). | |
| TriggeredRule | string | este utilizat pentru a defini condițiile în care urmează să fie executată o acțiune declanșată. | |
| _dataSource | Name | string | Numele sursei de date |
| SecurityAppliance | string | Numele fizic al sursei de date | |
| Version | string | Versiunea sursei de date care generează evenimentul | |
| _event | Category | string | Clasificare specifică contextului atribuită evenimentului de către CYBERQUEST |
| Result | boolean | Indică rezultatul evenimentului (de ex. succes sau eșec) | |
| SourceObject | string | Obiectul din sistem care a originat evenimentul, oferind o indicație mai precisă a sursei sale | |
| SourceUser | string | Utilizatorul care a declanșat sau este asociat evenimentului, oferind o indicație mai precisă a originii acestuia | |
| SubCategory | string | Clasificarea de subcategorie atribuită de CYBERQUEST pe baza categoriei principale a evenimentului | |
| TargetObject | string | Obiectul vizat de eveniment, indicând o destinație sau un endpoint mai precis | |
| TargetUser | string | Utilizatorul vizat de eveniment, reprezentând destinatarul sau destinația intenționată a acțiunii | |
| URL | string | URL-ul asociat evenimentului, identificând locația unei resurse implicate în activitate | |
| CorrelationID | ID utilizat pentru corelarea evenimentelor înrudite | ||
| _forensics | What | string | Acțiunea sau activitatea care a avut loc |
| Where | string | Locația în care a avut loc evenimentul sau incidentul | |
| Who | string | Persoana sau entitatea responsabilă de sau implicată în generarea evenimentului | |
| Why | string | Motivul pentru care a fost generat evenimentul | |
| _geoLocation | DestIPGeoCountry | string | Coordonatele IP-ului destinație ale țării |
| DestIPGeoPoint | geo_point | Punctul de geolocalizare al IP-ului destinație | |
| DestIPGeocity | string | Coordonatele IP-ului destinație ale orașului | |
| Host | string | Numele de gazdă asociat contextului de geolocalizare | |
| SrcIPGeoCountry | string | Coordonatele IP-ului sursă ale țării | |
| SrcIPGeoPoint | geo_point | Punctul de geolocalizare al IP-ului sursă | |
| SrcIPGeocity | string | Coordonatele IP-ului sursă ale orașului | |
| _incident | Category | string | Clasificarea incidentului atribuită de CYBERQUEST |
| Impact | string | Evaluarea impactului incidentului, măsurând amploarea și daunele potențiale înainte de rezolvare | |
| Score | long | Scor atribuit pentru a cuantifica gravitatea unei situații neplanificate care perturbă sau degradează un serviciu IT | |
| SubCategory | string | Subclasificarea incidentului atribuită de CYBERQUEST pe baza categoriei sale principale | |
| _malware | DeliveryMethod | string | metoda de livrare (mail, fișier etc…) |
| Name | string | Numele malware-ului identificat | |
| _network | AplicationName | string | Numele aplicației implicate în evenimentul de rețea |
| DestIPv4 | ip | Adresa IPv4 destinație în contextul de rețea | |
| DestIPv6 | string | Adresa IPv6 destinație în contextul de rețea | |
| DestInterface | string | Interfața de rețea utilizată de destinație | |
| DestPort | long | Portul destinație utilizat în conexiunea de rețea | |
| FlowID | string | Identificatorul fluxului de rețea | |
| PostNATDestIPv4 | ip | Adresa IPv4 destinație după traducerea NAT | |
| PostNATDestIPv6 | string | Adresa IPv6 destinație după traducerea NAT | |
| PostNATDestPort | long | Portul destinație după traducerea NAT | |
| PostNATSrcIPv4 | ip | Adresa IPv4 sursă după traducerea NAT | |
| PostNATSrcIPv6 | string | Adresa IPv6 sursă după traducerea NAT | |
| PostNATSrcPort | long | Portul sursă după traducerea NAT | |
| Protocol | string | Protocolul de rețea utilizat (de ex. TCP, UDP) | |
| ReceivedBytes | long | Numărul de octeți primiți prin rețea | |
| SrcIPv4 | ip | Adresa IPv4 sursă în contextul de rețea | |
| SrcIPv6 | string | Adresa IPv6 sursă în contextul de rețea | |
| SrcInterface | string | Interfața utilizată de sursă în rețea | |
| SrcPort | long | Portul sursă utilizat în conexiunea de rețea | |
| ClientIPGeoCity | Locația de tip oraș a IP-ului clientului | ||
| ClientIP | Adresa IP a clientului în rețea | ||
| TransferedBytes | long | Totalul octeților transferați în fluxul de rețea | |
| _risk | RiskScoreAsset | Scorul de risc atribuit activului afectat | |
| RiskScoreUser | Scorul de risc atribuit utilizatorului afectat | ||
| RiskNames | Riscurile denumite identificate pentru eveniment | ||
| FullRuleMatch | Detalii ale potrivirilor complete de reguli care au declanșat riscul | ||
| RiskScoreEvent | Scorul de risc asociat evenimentului | ||
| GeoCountry | Locația de tip țară asociată contextului de atac | ||
| DestIP | IP-ul destinație implicat în contextul de atac | ||
| TriggeredRule | Regula de securitate care a fost declanșată de atac | ||
| Host | Gazda vizată în atac | ||
| Object | Obiectul vizat sau afectat în timpul atacului | ||
| Method | Metoda sau tehnica utilizată în atac | ||
| GeoCity | Locația de tip oraș asociată contextului de atac | ||
| SrcIP | IP-ul sursă utilizat în atac | ||
| Location | Contextul de locație al atacului | ||
| OtherInfo | Context sau metadate suplimentare pentru atac | ||
| Result | Rezultatul sau finalitatea atacului |
7. Structura înregistrărilor de alertă
Alertele CYBERQUEST pot avea următoarele câmpuri:
| Categorie | Câmp | Tip | Descriere |
|---|---|---|---|
| Câmpuri generice | |||
| Category | string | Clasificarea sau tipul atribuit evenimentului | |
| Computer | string | Numele calculatorului pe care a fost generat evenimentul | |
| Description | string | Descrierea textuală sau mesajul asociat evenimentului | |
| DestIP | string | Adresa IP a destinației implicate în eveniment | |
| EventID | long | Identificator unic atribuit evenimentului | |
| EventLog | string | Jurnalul în care a fost înregistrat evenimentul | |
| EventType | long | Specifică tipul de eveniment care a avut loc | |
| GMT | date | Marcaj temporal al evenimentului în Coordinated Universal Time (UTC) | |
| LocalTime | date | Marcaj temporal local al producerii evenimentului | |
| PlatformID | string | Identificatorul mașinii pe care a apărut evenimentul | |
| S1…S150 | string | Câmpuri text de uz general | |
| Destination Port | long | Portul destinație | |
| Application name | string | Numele aplicației | |
| SourcePort | string | portul sursă | |
| Flow ID | string | NetflowID | |
| Source | string | sursă | |
| SrcIP | string | IP-ul sursă este adresa IP (Internet Protocol) a dispozitivului care trimite pachetul IP (unitatea IP de transfer de date) | |
| Tag | string | etichetă | |
| VersionMajor | long | versiunea major | |
| VersionMinor | long | versiunea minor | |
| ReceivedTime | date | momentul primirii | |
| SecurityScore | long | Scor numeric care indică impactul de securitate al evenimentului | |
| SecurityLevel | long | nivelul de securitate | |
| SrcIP_Country_Code | string | codul de țară al SrcIP | |
| SrcIP_Country_Name | string | numele țării al SrcIP | |
| DestIP_Country_Code | string | codul de țară al DestIP | |
| DestIP_Country_Name | string | numele țării al DestIP | |
| EventPath | string | calea evenimentului | |
| TimeOfDay | long | momentul zilei | |
| _anomaly | AnomalyID | Identificatorul anomaliei detectate | |
| RelativeScore | Scor relativ care reprezintă gravitatea anomaliei | ||
| Score | Scorul absolut al anomaliei detectate | ||
| _network | AplicationName | string | numele aplicației |
| DestIPv4 | ip | IP destinație (IPv4) | |
| DestInterface | string | interfața destinație | |
| DestPort | long | portul destinație | |
| FlowID | string | NetflowID | |
| PostNATDestIPv4 | ip | IP destinație (IPv4) după traducerea de rețea | |
| PostNATDestPort | long | portul destinație după traducerea de rețea | |
| PostNATSrcIPv4 | ip | IP sursă (IPv4) după traducerea de rețea | |
| PostNATSrcPort | long | portul sursă după traducerea de rețea | |
| Protocol | string | protocol | |
| ReceivedBytes | long | octeți primiți | |
| SrcIPv4 | ip | IP destinație (IPv4) | |
| SrcInterface | string | interfața sursă | |
| SrcPort | long | portul sursă | |
| TransferedBytes | long | octeți transferați | |
| _Timestamp | isDST | boolean | Indică dacă marcajul temporal se încadrează în perioada Daylight Saving Time (ora de vară) |
| TimeZoneOffSet | long | Decalajul de fus orar aplicat marcajului temporal, reprezentând diferența față de GMT/UTC | |
| SkewedOffset | long | Decalaj care reprezintă diferența dintre timpul sistemului și timpul real | |
| Time | long | Momentul înregistrat al evenimentului reprezentat ca numărul de secunde scurse de la 00:00:00 UTC pe 1 ianuarie 1970 (timpul Unix epoch) | |
| _asset | GUID | string | identificatorul unic global al activului |
| Name | string | numele propriu-zis al activului | |
| SecurityValue | long | nivelul de securitate | |
| _event | Category | string | o categorie este atribuită de CYBERQUEST pentru fiecare eveniment |
| SubCategory | string | o subcategorie este atribuită de CYBERQUEST pentru fiecare eveniment în funcție de categoria principală | |
| _geoLocation | SrcIPGeoCountry | string | coordonatele IP-ului sursă ale țării |
| SrcIPGeocity | string | coordonatele IP-ului sursă ale orașului | |
| SrcIPGeoPoint | geo_point | coordonatele IP-ului sursă ale punctului | |
| DestIPGeoCountry | string | coordonatele IP-ului destinație ale țării | |
| DestIPGeocity | string | coordonatele IP-ului destinație ale orașului | |
| DestIPGeoPoint | geo_point | coordonatele IP-ului destinație ale punctului |