Skip to content

Documentație

Întrebări frecvente

CYBERQUEST este o platformă sofisticată care se află deasupra tuturor datelor/aplicațiilor/senzorilor/serverelor legate de securitate, definită ca o platformă de tip Security-Driven Analytics…

1. De ce CYBERQUEST?

CYBERQUEST este o platformă sofisticată care se află deasupra tuturor datelor/aplicațiilor/senzorilor/serverelor legate de securitate, definită ca o platformă de tip Security-Driven Analytics sau „Next Generation SIEM”. Aceasta adună date valoroase din multiple surse tehnologice și le permite utilizatorilor să ia decizii critice și acționabile în timp real pentru a menține siguranța companiei.

Principalele beneficii ale soluției:

  • potrivită atât pentru IMM-uri, cât și pentru Enterprise
  • costuri predictibile și fără costuri ascunse – reducerea TCO
  • flexibilitate nelimitată pentru datele de tip log/aplicație
  • fără blocare de furnizor (vendor lock), bază de date NoSQL
  • implementare rapidă End-to-End
  • conformitate GDPR – adaptată standardelor din industrie
  • punct unic de acces la toate datele
  • reduce timpul de investigare de până la 10 ori

2. Cum este licențiat CYBERQUEST?

Soluția CYBERQUEST este disponibilă cu licențiere de tip Subscription sau Perpetual pentru On-premise.

Licențierea se bazează pe nucleele CPU (CPU Cores).

Edițiile comerciale sunt: Logger, Light, Advanced, Enterprise și Ultimate.

Pentru a verifica informații mai detaliate, urmați linkul: CYBERQUEST Licensing and Versioning

3. Care sunt cerințele de sistem pentru CYBERQUEST?

CYBERQUEST este un appliance virtual, dar poate fi instalat și ca appliance fizic.

Pentru a verifica cerințele detaliate de sistem, urmați linkul: Minimum system requirements

4. Cum pot descărca versiunea demo a CYBERQUEST?

Puteți descărca cea mai recentă versiune demo a produsului Nextgen Software de pe https://nextgensoftware.eu/.

5. Cum pot contacta echipa de suport CYBERQUEST?

Service requests pot fi accesate prin https://support.nextgensoftware.solutions/ sau prin e-mail la [email protected].

6. Care este structura înregistrărilor de tip Log pentru CYBERQUEST?

Evenimentele CYBERQUEST pot avea următoarele câmpuri:

CategorieCâmpTipDescriere
Câmpuri generice
CategorystringDefinește clasificarea evenimentului
ComputerstringNumele de gazdă al sistemului care a generat evenimentul
DescriptionstringDescrierea textuală sau mesajul asociat evenimentului
DestIPstringAdresa IP a destinației implicate în eveniment
DestIP_Country_CodestringCodul ISO de țară pentru IP-ul destinație
DestIP_Country_NamestringNumele țării asociat IP-ului destinație
DestMACstringAdresa MAC a dispozitivului destinație
EventIDlongIdentificator unic atribuit evenimentului
EventLogstringJurnalul în care a fost înregistrat evenimentul
EventPathstringCalea din sistemul de fișiere asociată evenimentului (de ex. locația fișierului sau procesului afectat)
EventTypelongSpecifică tipul de eveniment care a avut loc
GMTdateMarcaj temporal al evenimentului în Coordinated Universal Time (UTC)
IDstringIdentificator general asociat înregistrării
IsIncidentbooleanDacă evenimentul este clasificat ca incident de securitate
LocalTimedateMarcaj temporal local al producerii evenimentului
N1 … N40longcâmpuri numerice de uz general
PlatformIDstringIdentificatorul mașinii pe care a apărut evenimentul
PostDtsSHA256stringhash-ul log-ului după trecerea prin Data Transformation Service
PreDtsSHA256stringhash-ul log-ului înainte de trecerea prin Data Transformation Service
RawDatastringdate brute
ReceivedTimedateMomentul în care evenimentul a fost primit sau procesat
S1 … S150stringcâmpuri text de uz general
SecondaryTagstringetichetă secundară
SessionIDstringIdentificator pentru sesiunea în timpul căreia a avut loc evenimentul
SourcestringOriginea sau componenta legată de eveniment
SrcIPstringAdresa IP a sursei implicate în eveniment
SrcIP_Country_CodestringCodul ISO de țară pentru IP-ul sursă
SrcIP_Country_NamestringNumele țării asociat IP-ului sursă
SrcMACstringAdresa MAC a dispozitivului sursă
TagstringEticheta atribuită pentru categorizarea evenimentului
isLastDuplicateBoolean care indică dacă acesta este cel mai recent duplicat dintr-o serie
Tenantstringtenant
TimeOfDaylongmomentul zilei
UserDomainstringdomeniul utilizatorului
UserNamestringnumele de utilizator
VersionMajorlongversiunea major
VersionMinorlongversiunea minor
contentstringconținut
_TimestampSkewedOffsetlongdiferența dintre timpul real și timpul mașinii
Timelongeste numărul de secunde … ca număr scalar real care reprezintă numărul de secunde care au trecut de la 00:00:00 UTC joi, 1 ianuarie 1970
TimeZoneOffSetlongadăugarea celor 80 de secunde la GMT
isDSTbooleanora de vară dacă este aplicată sau nu
_agentGUIDstringIdentificator unic pentru agent
NamestringNumele agentului
SitestringLocația sau site-ul asociat agentului relevant
_assetApplicationstringNumele aplicației asociate activului
CriticalitylongNivelul de criticitate al activului (rating)
LocationLocația fizică sau logică a activului
NamestringNumele activului
OwnerstringProprietarul activului
ProjectstringProiectul asociat activului
SecurityValuelongRatingul sau valoarea de securitate a activului
SitestringSite-ul sau locația activului (oraș)
_attackDestIPstringIP-ul destinație este adresa IP a dispozitivului către care este trimis pachetul.
GeoCitystringOrașul decodat din adresa IP
GeoCountrystringȚara decodată din adresa IP
Hoststringeste un calculator sau alt dispozitiv care comunică cu alte gazde dintr-o rețea, inclusiv clienți și servere – care trimit sau primesc date, servicii sau aplicații
GeoLatGEOlatitudinea decodată din adresa IP
GeoLongGEOlongitudinea decodată din adresa IP
Methodstringeste o procedură specifică pentru realizarea sau abordarea unui lucru, în special una sistematică sau consacrată.
Objectstringobiectele de rețea sunt utilizate pentru a categoriza adresele IP în diferite tipuri de entități de rețea
OtherInfoStringalte informații despre rețeaua noastră
Resultbooleanrezultatul atacului
SrcIPstringIP-ul sursă este adresa IP (Internet Protocol) a dispozitivului care trimite pachetul IP (unitatea IP de transfer de date).
TriggeredRulestringeste utilizat pentru a defini condițiile în care urmează să fie executată o acțiune declanșată.
_dataSourceNamestringNumele sursei de date
SecurityAppliancestringNumele fizic al sursei de date
VersionstringVersiunea sursei de date care generează evenimentul
_eventCategorystringClasificare specifică contextului atribuită evenimentului de către CYBERQUEST
ResultbooleanIndică rezultatul evenimentului (de ex. succes sau eșec)
SourceObjectstringObiectul din sistem care a originat evenimentul, oferind o indicație mai precisă a sursei sale
SourceUserstringUtilizatorul care a declanșat sau este asociat evenimentului, oferind o indicație mai precisă a originii acestuia
SubCategorystringClasificarea de subcategorie atribuită de CYBERQUEST pe baza categoriei principale a evenimentului
TargetObjectstringObiectul vizat de eveniment, indicând o destinație sau un endpoint mai precis
TargetUserstringUtilizatorul vizat de eveniment, reprezentând destinatarul sau destinația intenționată a acțiunii
URLstringURL-ul asociat evenimentului, identificând locația unei resurse implicate în activitate
CorrelationIDID utilizat pentru corelarea evenimentelor înrudite
_forensicsWhatstringAcțiunea sau activitatea care a avut loc
WherestringLocația în care a avut loc evenimentul sau incidentul
WhostringPersoana sau entitatea responsabilă de sau implicată în generarea evenimentului
WhystringMotivul pentru care a fost generat evenimentul
_geoLocationDestIPGeoCountrystringCoordonatele IP-ului destinație ale țării
DestIPGeoPointgeo_pointPunctul de geolocalizare al IP-ului destinație
DestIPGeocitystringCoordonatele IP-ului destinație ale orașului
HoststringNumele de gazdă asociat contextului de geolocalizare
SrcIPGeoCountrystringCoordonatele IP-ului sursă ale țării
SrcIPGeoPointgeo_pointPunctul de geolocalizare al IP-ului sursă
SrcIPGeocitystringCoordonatele IP-ului sursă ale orașului
_incidentCategorystringClasificarea incidentului atribuită de CYBERQUEST
ImpactstringEvaluarea impactului incidentului, măsurând amploarea și daunele potențiale înainte de rezolvare
ScorelongScor atribuit pentru a cuantifica gravitatea unei situații neplanificate care perturbă sau degradează un serviciu IT
SubCategorystringSubclasificarea incidentului atribuită de CYBERQUEST pe baza categoriei sale principale
_malwareDeliveryMethodstringmetoda de livrare (mail, fișier etc…)
NamestringNumele malware-ului identificat
_networkAplicationNamestringNumele aplicației implicate în evenimentul de rețea
DestIPv4ipAdresa IPv4 destinație în contextul de rețea
DestIPv6stringAdresa IPv6 destinație în contextul de rețea
DestInterfacestringInterfața de rețea utilizată de destinație
DestPortlongPortul destinație utilizat în conexiunea de rețea
FlowIDstringIdentificatorul fluxului de rețea
PostNATDestIPv4ipAdresa IPv4 destinație după traducerea NAT
PostNATDestIPv6stringAdresa IPv6 destinație după traducerea NAT
PostNATDestPortlongPortul destinație după traducerea NAT
PostNATSrcIPv4ipAdresa IPv4 sursă după traducerea NAT
PostNATSrcIPv6stringAdresa IPv6 sursă după traducerea NAT
PostNATSrcPortlongPortul sursă după traducerea NAT
ProtocolstringProtocolul de rețea utilizat (de ex. TCP, UDP)
ReceivedByteslongNumărul de octeți primiți prin rețea
SrcIPv4ipAdresa IPv4 sursă în contextul de rețea
SrcIPv6stringAdresa IPv6 sursă în contextul de rețea
SrcInterfacestringInterfața utilizată de sursă în rețea
SrcPortlongPortul sursă utilizat în conexiunea de rețea
ClientIPGeoCityLocația de tip oraș a IP-ului clientului
ClientIPAdresa IP a clientului în rețea
TransferedByteslongTotalul octeților transferați în fluxul de rețea
_riskRiskScoreAssetScorul de risc atribuit activului afectat
RiskScoreUserScorul de risc atribuit utilizatorului afectat
RiskNamesRiscurile denumite identificate pentru eveniment
FullRuleMatchDetalii ale potrivirilor complete de reguli care au declanșat riscul
RiskScoreEventScorul de risc asociat evenimentului
GeoCountryLocația de tip țară asociată contextului de atac
DestIPIP-ul destinație implicat în contextul de atac
TriggeredRuleRegula de securitate care a fost declanșată de atac
HostGazda vizată în atac
ObjectObiectul vizat sau afectat în timpul atacului
MethodMetoda sau tehnica utilizată în atac
GeoCityLocația de tip oraș asociată contextului de atac
SrcIPIP-ul sursă utilizat în atac
LocationContextul de locație al atacului
OtherInfoContext sau metadate suplimentare pentru atac
ResultRezultatul sau finalitatea atacului

7. Structura înregistrărilor de alertă

Alertele CYBERQUEST pot avea următoarele câmpuri:

CategorieCâmpTipDescriere
Câmpuri generice
CategorystringClasificarea sau tipul atribuit evenimentului
ComputerstringNumele calculatorului pe care a fost generat evenimentul
DescriptionstringDescrierea textuală sau mesajul asociat evenimentului
DestIPstringAdresa IP a destinației implicate în eveniment
EventIDlongIdentificator unic atribuit evenimentului
EventLogstringJurnalul în care a fost înregistrat evenimentul
EventTypelongSpecifică tipul de eveniment care a avut loc
GMTdateMarcaj temporal al evenimentului în Coordinated Universal Time (UTC)
LocalTimedateMarcaj temporal local al producerii evenimentului
PlatformIDstringIdentificatorul mașinii pe care a apărut evenimentul
S1…S150stringCâmpuri text de uz general
Destination PortlongPortul destinație
Application namestringNumele aplicației
SourcePortstringportul sursă
Flow IDstringNetflowID
Sourcestringsursă
SrcIPstringIP-ul sursă este adresa IP (Internet Protocol) a dispozitivului care trimite pachetul IP (unitatea IP de transfer de date)
Tagstringetichetă
VersionMajorlongversiunea major
VersionMinorlongversiunea minor
ReceivedTimedatemomentul primirii
SecurityScorelongScor numeric care indică impactul de securitate al evenimentului
SecurityLevellongnivelul de securitate
SrcIP_Country_Codestringcodul de țară al SrcIP
SrcIP_Country_Namestringnumele țării al SrcIP
DestIP_Country_Codestringcodul de țară al DestIP
DestIP_Country_Namestringnumele țării al DestIP
EventPathstringcalea evenimentului
TimeOfDaylongmomentul zilei
_anomalyAnomalyIDIdentificatorul anomaliei detectate
RelativeScoreScor relativ care reprezintă gravitatea anomaliei
ScoreScorul absolut al anomaliei detectate
_networkAplicationNamestringnumele aplicației
DestIPv4ipIP destinație (IPv4)
DestInterfacestringinterfața destinație
DestPortlongportul destinație
FlowIDstringNetflowID
PostNATDestIPv4ipIP destinație (IPv4) după traducerea de rețea
PostNATDestPortlongportul destinație după traducerea de rețea
PostNATSrcIPv4ipIP sursă (IPv4) după traducerea de rețea
PostNATSrcPortlongportul sursă după traducerea de rețea
Protocolstringprotocol
ReceivedByteslongocteți primiți
SrcIPv4ipIP destinație (IPv4)
SrcInterfacestringinterfața sursă
SrcPortlongportul sursă
TransferedByteslongocteți transferați
_TimestampisDSTbooleanIndică dacă marcajul temporal se încadrează în perioada Daylight Saving Time (ora de vară)
TimeZoneOffSetlongDecalajul de fus orar aplicat marcajului temporal, reprezentând diferența față de GMT/UTC
SkewedOffsetlongDecalaj care reprezintă diferența dintre timpul sistemului și timpul real
TimelongMomentul înregistrat al evenimentului reprezentat ca numărul de secunde scurse de la 00:00:00 UTC pe 1 ianuarie 1970 (timpul Unix epoch)
_assetGUIDstringidentificatorul unic global al activului
Namestringnumele propriu-zis al activului
SecurityValuelongnivelul de securitate
_eventCategorystringo categorie este atribuită de CYBERQUEST pentru fiecare eveniment
SubCategorystringo subcategorie este atribuită de CYBERQUEST pentru fiecare eveniment în funcție de categoria principală
_geoLocationSrcIPGeoCountrystringcoordonatele IP-ului sursă ale țării
SrcIPGeocitystringcoordonatele IP-ului sursă ale orașului
SrcIPGeoPointgeo_pointcoordonatele IP-ului sursă ale punctului
DestIPGeoCountrystringcoordonatele IP-ului destinație ale țării
DestIPGeocitystringcoordonatele IP-ului destinație ale orașului
DestIPGeoPointgeo_pointcoordonatele IP-ului destinație ale punctului