Organization
Polega na identyfikacji zasobów informatycznych (tj. sprzęt, oprogramowanie, dane), które mogą być zagrożone różnego rodzaju atakami (np. malware, phishing, DDoS), oraz oszacowaniu prawdopodobieństwa i skutków takiego zdarzenia. Podstawa do wyboru i wdrożenia zabezpieczeń.
Ubezpieczenie ryzyk cybernetycznych
Ubezpieczenie ryzyk cybernetycznych pozwala ograniczyć dotkliwe i daleko sięgające skutki incydentu np. naruszenia bezpieczeństwa danych czy niedostępności systemów. Zapewnia również pokrycie kosztów konsultantów – ekspertów ds. informatyki śledczej, odzyskiwania danych, prawników oraz konsultantów PR – specjalistów, którzy doradzą i opracują odpowiedni plan działania w sytuacji kryzysowej.
Szkolenia Uświadamiające dla Pracowników
Działania polegające na budowaniu świadomości bezpieczeństwa IT wśród pracowników. Obejmują m.in. wiedzę o zagrożeniach, sposobach ich zapobiegania, sposobie postępowania w przypadku wykrycia incydentu oraz podczas sytuacji kryzysowej. Szkolenia można realizować wykorzystując różne techniki np. warsztaty, e-learning, gry symulacyjne.
Blokada Portów USB i Nośników Danych
Zabezpieczenie zapobiegające wyciekowi danych realizowane za pomocą konfiguracji odpowiednich polityk GPO lub dedykowanych aplikacji cyberbezpieczeństwa (np. DLP). Zapewnia blokadę portów USB oraz eksploatacji zewnętrznych nośników danych (np. napęd CD, DVD). Może dotyczyć wszystkich lub wybranych stacji roboczych.
Działania polegające na przypisaniu informacji kategorii, na podstawie której stosuje się odpowiednie zabezpieczenia np. pod względem poufności.
Usługa Threat Intelligence
Stanowi zespół procesów identyfikowania, gromadzenia i przetwarzania danych w celu uzyskania informacji wspierającej świadomość sytuacyjną dot. zagrożeń cyberbezpieczeństwa. Taka usługa może być realizowana w ramach przeglądania dostępnych źródeł informacji o zagrożeniach, budowania infrastruktury automatyzującej proces gromadzenia danych o zagrożeniach oraz dzielenia się informacjami z zainteresowanymi stronami. Threat Intelligence koncentruje się na dostarczaniu informacji w sposób usystematyzowany i zunifikowany, opierając się np. o platformy CTI (takie jak MISP).
Usługa Wsparcia Zewnętrznego w Reagowaniu na Incydenty
Usługa wykonywana przez specjalistyczne zespoły reagowania na incydenty komputerowe. Zakres tego typu wsparcia jest określany w umowach pomiędzy organizacją a podwykonawcą (outsourcingowanym CSIRT-em lub SOC-iem). Najczęściej spotykanym wsparciem oferowanym na rynku jest usługa monitoringu i detekcji zdarzeń, obsługa zaawansowanych incydentów cyberbezpieczeństwa oraz dostarczanie tzw. feedów threat intelligence, czyli ustrukturyzowanych informacji o bieżących zagrożeniach dla klienta. Zewnętrzne wsparcie w reagowaniu na incydenty może także oznaczać wykonywanie zadań typu analiza złośliwego oprogramowania czy analiza powłamaniowa.
Hardening i aktualizacja Serwerów i Urządzeń Sieciowych
Utwardzanie systemów obejmuje zespół kompleksowych działań zmierzających do optymalizacji działania i poprawy stanu zabezpieczeń systemów operacyjnych serwerów oraz urządzeń końcowych. Polega na optymalnej konfiguracji systemów operacyjnych i urządzeń poprzez wyłączanie nadmiarowych, potencjalnie niebezpiecznych usług oraz włączanie dedykowanych i rekomendowanych zabezpieczeń. Podejmowane w ramach utwardzania czynności skutecznie zabezpieczają przed włamaniami czy wpływem złośliwego oprogramowania.
Audyt wewnętrzny pomaga organizacji w osiąganiu jej celów poprzez systematyczne i metodyczne podejście do oceny i doskonalenia skuteczności procesów zarządzania ryzykiem, kontroli i zarządzania organizacją. Rolą audytu w cyberbezpieczeństwie jest weryfikacja czy organizacja zidentyfikowała ryzyka i zagrożenia oraz czy zaprojektowała, wdrożyła i utrzymuje adekwatne zabezpieczenia.
Audyt techniczny to audyt przeprowadzany przez audytora, inżyniera lub eksperta merytorycznego, który ocenia braki lub obszary do poprawy w procesie, systemie lub przedsięwzięciu. Audyt techniczny obejmuje techniczne aspekty projektu realizowanego w organizacji.
Zewnętrzna Usługa Testów Penetracyjnych
Usługa polegająca na wykonywaniu aktywnych testów cyberbezpieczeństwa infrastruktury organizacji. Celem testów penetracyjnych jest kontrolowany atak na dany system i przełamanie jego zabezpieczeń. Przykładem takiego testu jest próba wykorzystania podatności strony internetowej, dostarczenia złośliwej próbki poprzez wiadomość elektroniczną lub fizyczne wejście do chronionego budynku. Testy penetracyjne kończą się szczegółowym raportem działań dla organizacji zlecającej.
Zespół SOC (Security Operations Center)
Jest odpowiedzialny za monitorowanie i detekcję zdarzeń cyberbezpieczeństwa. Zabezpieczenie jest rozumiane jako zbiór procesów i procedur, określony model osobowy, stosowane narzędzia i technologie oraz umiejętności pracowników.
Zespół CERT (Computer Emergency Response Team)
Odpowiedzialny za zarządzanie incydentami cyberbezpieczeństwa (oraz inne właściwe usługi, np. analizy złośliwego oprogramowania lub rozwijanie świadomości sytuacyjnej). Rozumiany jako zbiór procesów i procedur, określony model osobowy, stosowane narzędzia i technologie oraz umiejętności pracowników.
Proces skoncentrowany na zaprojektowaniu, wdrożeniu i utrzymaniu bezpiecznej konfiguracji systemów informatycznych, opartej na wymaganiach biznesowych oraz regulacjach prawnych. Ustanawia wymagania oraz bazowe ustawienia konfiguracji dla systemów i urządzeń teleinformatycznych.
Zarządzanie dostępem jest nieodłącznym elementem korzystania z zasobów IT (systemów, danych) i stanowi jeden z fundamentów cyberbezpieczeństwa. Kontrola dostępu to zarządzany i nadzorowany proces przyznawania, modyfikacji i odbierania uprawnień użytkownikom do zasobów IT, pomieszczeń itp. Efektywny proces zarządzania uprawnieniami minimalizuje ryzyko nieautoryzowanego dostępu, ataku na aplikacje webowe oraz wycieku danych.
Logowanie zdarzeń bezpieczeństwa
Proces rejestracji i analizowania logów zdarzeń w celu identyfikacji symptomów wskazujących na atak na infrastrukturę informatyczną organizacji.
Proces Rozwoju Bezpiecznego Oprogramowania
Bezpieczeństwo aplikacji jest bardzo szerokim zagadnieniem obejmującym wiele aspektów od wczesnego projektowania i modelowania zagrożeń po utrzymanie i ochronę aplikacji w środowisku produkcyjnym. Metodyki cyklu bezpiecznego rozwoju oprogramowania (Secure Software Development Cycle) zawierają wiele elementów wspólnych, takich jak specyfikacja wymagań, ocena i modelowanie zagrożeń czy weryfikacja i testowanie oraz zbiór reguł i zasad określających w jaki sposób powinien przebiegać proces rozwoju oprogramowania, aby był on zgodny z wymaganiami bezpieczeństwa.
Zarządzanie bezpieczeństwem outsourcingu
Bezpieczeństwo dostarczonych systemów, aplikacji, usług w dużej mierze zależy od uwzględnienia wymaganych zabezpieczeń na etapie ich wytwarzania lub dostarczania. Ponadto dostawcy zewnętrzni są często wykorzystywanym wektorem ataku ze względu na posiadany przez nich uprzywilejowany dostęp do naszych systemów w celach utrzymaniowych lub serwisowych. Procedury regulujące relacje z dostawcami obejmują m.in. kontrolę i monitoring dostępu, zdefiniowane wymagania bezpieczeństwa, poziomy SLA, monitorowanie usług, zarządzanie zmianami, komunikacja w trakcie incydentu.
Zarządzanie ciągłością działania
Zbiór działań mających na celu utrzymanie ciągłości biznesu na założonym poziomie. W cyberbezpieczeństwie dotyczy dostępności zasobów informatycznych wspierających realizację krytycznych procesów biznesowych (infrastruktura, sieć, sprzęt, systemy, aplikacje, dane). Obejmuje analizę wpływu zagrożeń na biznes, zdefiniowanie i wdrożenie zabezpieczeń zarówno prewencyjnych jak i reakcyjnych, testowanie zdefiniowanych scenariuszy oraz procedury działania i komunikacji w trakcie sytuacji kryzysowej.
Proces Reagowania na Incydenty
Opisuje role, odpowiedzialności i działania w przypadku wystąpienia incydentu. Obejmuje identyfikację, zgłoszenie, gromadzenie i analizę tropów oraz dowodów, czynności naprawcze oraz wyciągnięcie wniosków i ich analizę po zdarzeniu.
Zarządzanie podatnościami
Każda technologia ma swoje słabe punkty. Właściwie zaprojektowany i wdrożony proces zarządzania podatnościami skutecznie chroni przed większością zagrożeń. Obejmuje on identyfikację, klasyfikację, priorytetyzację oraz przypisanie odpowiedzialności za zabezpieczanie lub eliminację podatności.
Organizacja systemu bezpieczeństwa
Ogół polityk, zasad, metod i narzędzi do zapewnienia cyberbezpieczeństwa. Określają cel i zakres oraz regulują poszczególne domeny cyberbezpieczeństwa, takie jak bezpieczeństwo dostępu, sieci, danych i systemów IT, aby skutecznie chronić organizację przed zidentyfikowanymi zagrożeniami cyberbezpieczeństwa adekwatnie do oszacowanego ryzyka. W bezpieczeństwie IT najczęściej rozpatrywane w aspektach utraty poufności, integralności i dostępności danych.
Zbiór zasad dotyczący haseł użytkowników. Przykładowe zasady to: hasło nie może zawierać loginu użytkownika lub jego nazwiska, musi zawierać znaki specjalne, musi składać się z przynajmniej 8 znaków. Ważne jest, aby wprowadzona polityka haseł zapewniała odpowiedni poziom poufności i dostępności do przetwarzanych danych.
Definiuje zasady bezpieczeństwa zasobów technologicznych obejmując ich inwentaryzację, klasyfikację, użycie, utrzymanie i zwrot.
Proces Bezpieczeństwa Fizycznego i Środowiskowego
Zbiór zasad i standardów ustanowionych w celu ochrony infrastruktury informatycznej przed nieautoryzowanym dostępem fizycznym oraz przed uszkodzeniami i awariami w wyniku działania czynników fizycznych i środowiskowych, takich jak pożar czy zalanie.
Physical infrastructure
Systemy bezpieczeństwa środowiskowego
Zestaw narzędzi i systemów zapewniających ochronę przed uszkodzeniami i awariami w wyniku działania czynników fizycznych i środowiskowych, takich jak pożar czy zalanie uwzględniając m.in. systemy przeciwpożarowe, klimatyzację, czujniki wilgotności i temperatury itp.
Systemy bezpieczeństwa fizycznego
Zestaw narzędzi i systemów zapewniających ochronę przed nieautoryzowanym dostępem fizycznym uwzględniający m.in. kontrolę dostępu fizycznego, telewizję przemysłowe, systemy antywłamaniowe.
Entire network
Uwierzytelnianie Jednoskładnikowe (SFA)
Uwierzytelnianie jest techniką potwierdzania tożsamości. W modelu SFA (Single Factor Authentication) wykorzystuje się jedną metodę uwierzytelniania najczęściej poprzez wymagania podania loginu i hasła.
Uwierzytelnienie Wieloskładnikowego (MFA)
Uwierzytelnianie jest techniką potwierdzania tożsamości. Wyróżnia się trzy czynniki uwierzytelnienia: coś co wiesz (np. hasło, kod), coś co masz (np. karta, token), coś czym jesteś (techniki biometryczne). W celu zwiększenia poziomu bezpieczeństwa, MFA (Multi-Factor Authentication) wykorzystuje kilka metod uwierzytelniania np. użycie tokenu sprzętowego wymagającego podania hasła lub potwierdzenia odciskiem palca.
Oprogramowanie Antywirusowe
Program komputerowy, którego pierwotnym przeznaczeniem było wykrywanie, zwalczanie i usuwanie wirusów komputerowych. Obecnie najczęściej jest to pakiet programów chroniących także przed wieloma innymi zagrożeniami jak phishing, ataki webowe, a także ataki DDoS.
System Inwentaryzacji Zasobów IT
Baza, która umożliwia uzyskanie informacji o dostępnych zasobach teleinformatycznych w firmie. Oznacza to dostęp do wiedzy o typie używanego sprzętu (stacje robocze, urządzenia brzegowe, serwery), ich adresacji IP, typowej konfiguracji oraz oprogramowaniu. Informacje w zaawansowanych systemach tego typu są aktualizowane w czasie rzeczywistym oraz umożliwiają sprawdzenie usług i procesów powiązanych z danym urządzeniem.
System Zarządzania Dostępem i Tożsamością (IAM)
IAM (Identity and Access management) – system zarządzania tożsamością i dostępem jest systemem teleinformatycznym przetwarzającym informacje o tożsamości użytkowników, wykorzystywanym do rejestracji, udzielania oraz blokowania dostępu.
System Zarządzania Dostępem Uprzywilejowanym (PAM)
PAM (Priviliged Access Management) – system zarządzania kontami uprzywilejowanymi, pomaga w zarządzaniu, monitoringu i nadzorze nad kontami posiadającymi wysokie uprawnienia, dostęp do wrażliwych danych lub krytycznych systemów.
System Zarządzania Podatnościami (VM)
System pozwalający w sposób zaplanowany zarządzać konfiguracją aplikacji skanującej infrastrukturę, wykrywać podatności w infrastrukturze organizacji, oceniać krytyczność tych podatności oraz określać priorytet wprowadzania poprawek do środowiska produkcyjnego. System zarządzania podatnościami wymaga określonych procedur współpracy pomiędzy osobami odpowiedzialnymi za przeprowadzanie skanów, konfigurację skanerów i wprowadzania poprawek systemowych.
System SIEM Security Information and Events Management
System korelujący logi z infrastruktury sieciowej klienta, umożliwiający wykrywanie zdarzeń o charakterze naruszenia bezpieczeństwa. Wykrywanie zdarzeń odbywa się w czasie rzeczywistym, na zasadzie działania reguł korelacyjnych. Potencjalne zdarzenia wraz z przypisanymi parametrami są wyświetlane na dashboardach. SIEM jest jednym z głównych narzędzi wykorzystywanych w Security Operations Center. Umożliwia detekcję, obsługę i analizę zdarzeń.
System Zarządzania Konfiguracją (CMDB)
Łączy elementy zarządzania konfiguracją, podatnościami oraz aktualizacjami. Głównym zadaniem jest zapewnienie, że systemy są właściwie skonfigurowane, zgodnie z wymaganiami biznesowymi, bezpieczeństwa i regulacji prawnych.
Network egde
System Zapasowy Łącza Internetowego
Działanie większości systemów IT opiera się na usługach internetowych. Zapasowe łącze internetowe zapewni stabilny i nieprzerwany dostęp do internetu w przypadku ataku typu odmowa usługi. Powinno ono pochodzić od innego dostawcy. Jeżeli na przykład korzystamy ze stałego łącza, można skorzystać z oferty konkurenta lub wykupić pakiet internetu mobilnego.
Dzięki oprogramowaniu do zarządzania i realizacji zdalnego dostępu można skomunikować się z rozproszonymi urządzeniami w bezpieczny sposób. Główną rolą takiego oprogramowania w obsłudze pracy zdalnej jest zabezpieczenie komunikacji między użytkownikiem a siecią komputerową (np. VPN).
Atak DDoS (Distributed Denial Of Service) ma na celu spowodowanie niedostępności serwera, usługi lub infrastruktury. Ochrona AntyDDoS może łączyć różne techniki umożliwiające m.in.: szybką analizę w czasie rzeczywistym wszystkich pakietów, przekierowanie ruchu przychodzącego do Twojego serwera czy oddzielenie niepożądanych elementów ruchu od pozostałych w celu przepuszczenia pożądanego ruchu.
Zapewnia filtrowanie ruchu do/z sieci firmowej.
Założeniem web filtering jest zapobieganie dostępowi do witryn z niewłaściwą lub szkodliwą treścią albo stron mogących mieć negatywny wpływ na produktywność pracy. Jest to osiągane za pomocą filtrowania konkretnych adresów URL lub predefiniowanych kategorii zawierających strony zawierające nielegalną treść, pornografię, strony naruszające własność intelektualną lub witryny mogące oddziaływać na firmową infrastrukturę IT.
Chroni serwer pocztowy przed otrzymaniem niechcianej i zawierającą złośliwą zawartość korespondencją. Brama skanuje cały przychodząca, wychodzącą i wewnętrzną komunikacje mailową włączając załączniki i adresy URL w poszukiwaniu oznak szkodliwej i złośliwej zawartości.
Podstawowym celem jest wykrycie obecności złośliwego oprogramowania poprzez tzw. detonację załączników poczty czyli ich wirtualne uruchomienie w odizolowanym, bezpiecznym środowisku i późniejszą analizę efektów na system operacyjny. Pozwala na ochronę przed złośliwym oprogramowaniem propagowanym poprzez wbudowane skrypty lub zagrożeniami typu „zero day”.
Internal network
Separacja Zasobów Sieciowych
Działania polegające na podziale sieci korporacyjnej na mniejsze podsieci (segmentacja) dedykowane dla poszczególnych grup użytkowników np. księgowość, zarząd, produkcja itd. oraz odizolowaniu (separacja) ruchu sieciowego do/z tych segmentów. Zapewniają ochronę przed zagrożeniami złośliwego oprogramowania, zagrożeniom wewnętrznym, naruszeniem bezpieczeństwa danych oraz odmową usługi. Skutecznie minimalizują skutki rozprzestrzeniania się incydentu.
Szyfrowanie ruchu sieciowego
W celu zapewnienia bezpiecznej komunikacji i wymiany informacji stosuje się szyfrowanie ruchu sieciowego. Dzięki temu można zapobiec podsłuchaniu i przechwyceniu transmisji, wyciekowi i modyfikacji danych.
System Network Access Control
Usługa polegająca na określeniu dedykowanych polityk stanowiących o zakresie dostępu do sieci. W praktyce, technologia ta ma na celu ochronę organizacji przed podłączaniem się do sieci nieznanych urządzeń, nie będących na tzw. białej liście (z ang. whitelist). NAC umożliwia jednolitą kontrolę tego typu oraz posiada mechanizmy blokowania i alarmowania o anomaliach.
Zapewnia filtrowanie ruchu pomiędzy segmentami sieci firmowej.
IDS/IPS -System Wykrywania i Zapobiegania Atakom Sieciowym
System wykrywania (detekcji) i zapobiegania (prewencji) w zakresie prób kompromitacji systemu teleinformatycznego (np. włamanie, przejęcie kontroli, wyciek danych). Systemy klasy IDS/IPS mogą wykorzystywać analizę heurystyczną oraz/lub analizę sygnaturową. W zakresie urządzeń stosowane są sondy, bazy danych i analizatory logów. Systemy (sieciowe i hostowe) wykrywają zdarzenia na bazie reguł logicznych.
Host
System Zapasowy (redundancja)
Skuteczną metodą ograniczenia skutków awarii, złośliwego oprogramowania lub ataków powodujących odmowę usługi jest zastosowanie redundancji, czyli podwojenie kluczowych elementów systemu - tak, aby w razie niedostępności jednego z nich element rezerwowy natychmiast przejął jego rolę bez zatrzymywania procesu produkcyjnego.
System ochrony stacji roboczych (End Point Security)
Urządzenia końcowe (tj. stacje robocze lub urządzenia mobilne) wykorzystywane jako punkt dostępu do sieci korporacyjnej są częstym celem ataku. Systemy ochrony stacji roboczych zazwyczaj stanowi zestaw funkcjonalności takich jak oprogramowanie antywirusowe, firewall, czy host intrusion prevention system (HIPS).
System zarządzania urządzeniami mobilnymi (MDM)
Oprogramowanie służące do monitorowania , zarządzania i wdrażania polityk bezpieczeństwa na urządzeniach przenośnych różnych producentów i wykorzystujących różne systemy operacyjne.
Applications
Web Application Firewall (WAF)
Narzędzie dedykowane do ochrony aplikacji webowych. Pozwala kontrolować ruch od i do naszej aplikacji, wykorzystując przy tym wcześniej przygotowane reguły: model negatywny (blacklist) – polegający na tworzeniu listy treści niebezpiecznych, które zostaną zablokowane, zmienione lub odnotowane w logach, zależnie od naszej konfiguracji; model pozytywny (whitelist) – polegający na stworzeniu listy zaakceptowanych treści, które zostaną przepuszczone, a cała reszta zostanie jw. zablokowana, zmodyfikowana lub odnotowana w logach WAF.
Celem piaskownicy dla aplikacji jest zapewnienie kontrolowanego i ograniczonego środowiska do wykonywania kodu. Może to być przydatne w przypadku aplikacji, które mogą pochodzić z niezaufanych źródeł.
Praktyka polegająca na zdefiniowaniu listy zatwierdzonego oprogramowania czy plików wykonywalnych, które są dopuszczone do użytku i uruchomienia w infrastrukturze informatycznej.
Narzędzia do analizy kodu
Narzędzia te służą do analizy kodu źródłowego lub skompilowanej wersji pod kątem wynajdywania potencjalnych luk bezpieczeństwa. Najbardziej optymalnym rozwiązaniem jest zastosowanie ich w procesie rozwoju oprogramowania jeszcze przed implementacją na środowisko produkcyjne.
Data
Jednym z najlepszych sposobów na zapobieganie nieuprawnionemu dostępowi do danych przez osoby nieupoważnione jest ich szyfrowanie. I to nawet wtedy, gdy dojdzie do kradzieży dysków twardych lub całego serwera. Pomaga też ograniczyć skutki udanego ataku nakierowanego na kradzież danych.
Tworzenie kopii bezpieczeństwa danych to jeden z najlepszych sposobów na zapewnienie ich dostępności na wypadek ich utraty w wyniku ataku lub celowego bądź niezamierzonego działania pracowników.
System Zapobiegania Wyciekowi Danych (DLP)
Zbiór narzędzi i procesów umożliwiających monitorowanie i kontrolę działań wykonywanych na urządzeniach końcowych, przepływu danych w i z sieci korporacyjnej oraz przetwarzanie danych i wykrywanie nieautoryzowanych działań. DLP klasyfikuje wrażliwe dane, identyfikuje naruszenie polityk i podejmuje proaktywne działania (alarmowanie, blokowanie/kwarantanna, szyfrowanie) w celu zapobiegania przed ujawnieniem/wyciekiem wrażliwych danych, zarówno złośliwym jak i przypadkowym.
Data sources
Active Directory Credential Request
Informacje na temat zdarzeń związanych z żądaniem przez użytkownika poświadczeń z Active Directory, takich jak bilet lub token.
Active Directory Object Access
Otwarcie obiektu Active Directory, zazwyczaj w celu pobrania/odczytania jego wartości.
Active Directory Object Creation
Informacje na temat tworzonych obiektów Active Directory.
Active Directory Object Deletion
Informacje na temat usuwanych obiektów Active Directory.
Active Directory Object Modification
Informacje na temat wprowadzanych zmian w obiektach Active Directory.
Zdarzenia gromadzone przez usługi innych firm, takie jak serwery pocztowe, aplikacje internetowe lub inne narzędzia (nie przez rodzime systemy operacyjne lub platformę).
Informacje dotyczące rejestrowania, przesyłania komunikatów i innych artefaktów dostarczanych przez usługi innych firm (np. metryki, błędy i/lub alerty z aplikacji pocztowych/webowych).
Źródła danych zawierające informacje o urządzeniach znajdujących się w sieci wraz z ich aktualnym oprogramowaniem i konfiguracją.
Źródła informacji o obecnych i spodziewanych urządzeniach w sieci, wraz ze wskazaniem producenta, modelu i niezbędnych identyfikatorów (np. adresy IP i sprzętowe).
Źródła danych z informacjami o urządzeniach znajdujących się w sieci, wraz z ich aktualnym oprogramowaniem i konfiguracją.
Wyszukane lub zarejestrowane informacje o aktualnych i wygasłych certyfikatach cyfrowych (np. Certificate transparency).
Informacje dotyczące dezaktywacja lub zatrzymania usługi w chmurze (np. AWS Cloudtrail StopLogging).
Cloud Service Enumeration
Wyodrębnienie listy usług w chmurze (np. AWS ECS ListServices).
Cloud Service Modification
Informacje dotyczące zmian dokonanych w usłudze chmurowej, w tym jej ustawień i/lub danych (np. AWS CloudTrail DeleteTrail lub DeleteConfigRule).
Informacje dotyczące dostępu do pamięci masowej w chmurze, zazwyczaj w celu zebrania/odczytania wartości (np. AWS S3 GetObject).
Informacje dotyczące tworzenia nowej pamięci masowej w chmurze (np. AWS S3 CreateBucket).
Informacje dotyczące usunięcia pamięci masowej w chmurze (np. AWS S3 DeleteBucket).
Cloud Storage Enumeration
Wyodrębnienie listy pamięci masowej w chmurze (np. AWS S3 ListBuckets lub ListObjects).
Dane kontekstowe o infrastrukturze pamięci masowej w chmurze i aktywności wokół niej, takie jak nazwa, rozmiar czy właściciel.
Cloud Storage Modification
Zmiany dokonane w infrastrukturze pamięci masowej w chmurze, w tym jej ustawienia i/lub dane (np. AWS S3 PutObject lub PutObjectAcl).
Informacje dotyczące zdarzeń związanych z wywołaniem poleceń/komend w celu wykonania określonego zadania (np. Windows EID 4688 z cmd.exe pokazujący parametry wiersza poleceń, ~/.bash_history lub ~/.zsh_history)
Informacje dotyczące tworzenia nowego kontenera (np.: docker create).
Wyodrębnienie listy kontenerów (np.: docker ps).
Informacje dotyczące aktywacji lub wywołania kontenera (np.: docker start lub docker restart).
Dane z rejestru nazw domen (DNS) wskazujące na bieżące rozdzielenie domeny na adresy IP (np. zapytania dig/nslookup).
Domain Name: Domain Registration
Informacje o przypisaniu nazwy domeny i inne metadane domeny (np. WHOIS).
Informacje dotyczące danych zarejestrowanych DNS, podkreślające czas rozwiązywania domen na adresy IP (np. pasywny DNS).
Informacje dotyczące dostępu/wejścia do dysku.
Informacje dotyczące pierwszego przypisywania litery do dysku (drive letter) lub tworzenia punktu montowania dysku.
Informacje dotyczące zmian przypisanych liter dysku (drive letter) lub w obszarze montowania dysku.
Informacje dotyczące dołączania sterownika do użytkownika lub jądra systemu (np. Sysmon EID 6).
Dane kontekstowe dotyczące sterownika i działań wokół niego, takie jak zgłaszanie problemów ze sterownikiem lub sprawdzanie integralności (hash’e stron, kod).
Informacje dotyczące otwarcia pliku, które sprawia, że zawartość pliku jest dostępna dla żądającego (np. Windows EID 4663).
Informacje dotyczące tworzenia nowego pliku (np. Sysmon EID 11).
Informacje dotyczące usunięcia pliku (np. Sysmon EID 23, macOS ESF EID ES_EVENT_TYPE_AUTH_UNLINK, lub linuksowe komendy auditd unlink, rename, rmdir, unlinked, lub renameat rules).
Dane kontekstowe o pliku, które mogą zawierać takie informacje jak nazwa, zawartość (np. podpis, nagłówki lub dane/media), użytkownik/właściciel, uprawnienia itp.
Informacje dotyczące zmian dokonanych w pliku lub jego uprawnieniach i atrybutach, zazwyczaj w celu zmiany zawartości pliku docelowego (np. Windows EID 4670 lub Sysmon EID 2).
Informacje dotyczące dezaktywacji lub zatrzymania usługi w chmurze (np. zapis/usunięcie wpisów w dziennikach aktywności zapory Azure).
Wyodrębniona lista dostępnych firewalli i/lub ich ustawień/reguł (ex: Azure Network Firewall CLI Show commands).
Dane kontekstowe o firewallu i aktywności wokół niego, takie jak nazwa, polityka czy status.
Firewall Rule Modification
Informacje dotyczące zmian dokonanych w regułach zapory sieciowej, zazwyczaj w celu dopuszczenia/blokowania określonego ruchu sieciowego (np. Windows EID 4950 lub wpisy Write/Delete w Azure Firewall Rule Collection Activity Logs).
Informacje dotyczące zmian dokonywanych w oprogramowaniu sprzętowym, w tym jego ustawień i/lub danych, takie jak MBR (Master Boot Record) i VBR (Volume Boot Record).
Firmware czyli oprogramowanie komputerowe zapewniające niskopoziomową kontrolę nad sprzętem i urządzeniami hosta, takie jak BIOS lub UEFI/EFI.
Wyodrębniona lista dostępnych grup i/lub ich powiązanych ustawień (np: AWS list-groups).
Dane kontekstowe o grupie, które opisują grupę i działania wokół niej, takie jak nazwa, uprawnienia lub konta użytkowników w grupie.
Informacje dotyczące zmian dokonanych w grupie, takie jak członkostwo, nazwa lub uprawnienia (np. Windows EID 4728 lub 4732, AWS IAM UpdateGroup).
Informacje dotyczące tworzenia obrazu maszyny wirtualnej (np. Azure Compute Service Images PUT).
Informacje dotyczące usunięcia obrazu maszyny wirtualnej (ex: Azure Compute Service Images DELETE).
Dane kontekstowe dotyczące obrazu maszyny wirtualnej, takie jak nazwa, grupa zasobów, stan lub typ.
Informacje dotyczące zmian obrazu maszyny wirtualnej, w tym jej ustawienia i/lub dane kontrolne (np. Azure Compute Service Images PATCH).
Informacje dotyczące tworzenia nowej instancji (ex: instance.insert w ramach GCP Audit Logs).
Informacje dotyczące usunięcia instancji (np.: instance.delete w ramach GCP Audit Logs).
Wyodrębniona lista instancji w chmurze (np. instance.list w ramach GCP Audit Logs).
Dane kontekstowe dotyczące instancji i działań wokół niej, takie jak nazwa, typ lub status.
Informacje dotyczące zmian dokonanych w instancji, w tym jej ustawień i/lub danych kontrolnych (np.: instance.addResourcePolicies lub instances.setMetadata w ramach GCP Audit Logs).
Informacje dotyczące aktywacji lub wywołania instancji (np.: instance.start w ramach GCP Audit Logs).
Informacje dotyczące dezaktywacji lub zatrzymania instancji (np.: instance.stop w ramach GCP Audit Logs).
Internet Scan: Response Content
Zalogowany ruch sieciowy w odpowiedzi na skanowanie pokazujący zarówno wartości nagłówka protokołu jak i body. Informacje uzyskane (zazwyczaj poprzez aktywne sondy ruchu sieciowego lub indeksowanie stron internetowych) dotyczące różnego rodzaju zasobów i serwerów podłączonych do publicznego Internetu.
Internet Scan: Response Metadata
Dane kontekstowe dotyczące zasobów internetowych zebrane podczas skanowania, takie jak działające usługi lub porty. Informacje uzyskane (zazwyczaj poprzez aktywne sondy ruchu sieciowego lub indeksowanie stron internetowych) dotyczące różnego rodzaju zasobów i serwerów podłączonych do publicznego Internetu.
Informacje dotyczące pliku obiektowego, zawierającego kod rozszerzający działające jądro systemu operacyjnego, zwykle używany do dodawania obsługi nowego sprzętu (jako sterowniki urządzeń) i/lub systemów plików, lub do dodawania wywołań systemowych.
Informacje dotyczące udanego logowania nowego użytkownika po próbie uwierzytelnienia (np. Windows EID 4624, /var/log/utmp lub /var/log/wmtp).
Dane kontekstowe dotyczące sesji logowania, takie jak nazwa użytkownika, typ logowania, tokeny dostępu (kontekst bezpieczeństwa, identyfikatory logowania i identyfikatory SID) oraz wszelkie czynności z nimi związane.
Malware Repository: Malware Content
Informacje uzyskane (poprzez udostępnione lub przesłane próbki) dotyczące złośliwego oprogramowania (droppery, backdoory itp.) używanego przez przeciwników.
Kod, ciągi znaków i inne sygnatury, które kompromitują złośliwy payload.
Malware Repository: Malware Metadata
Dane kontekstowe dotyczące złośliwego payloadu, takie jak czas kompilacji, skrót pliku, a także znaki wodne lub inne możliwe do zidentyfikowania informacje konfiguracyjne.
Informacje dotyczące dołączenia modułu do pamięci procesu/programu, zazwyczaj w celu uzyskania dostępu do współdzielonych zasobów/właściwości dostarczanych przez moduł (np. Sysmon EID 7). Pliki wykonywalne składające się z jednej lub więcej współdzielonych klas i interfejsów, takie jak binaria w formacie portable executable (PE)/biblioteki dynamicznego łącza (DLL), binaria/współdzielone biblioteki w formacie wykonywalnym i linkowalnym (ELF) oraz binaria/współdzielone biblioteki w formacie Mach-O.
Mechanizmy umożliwiające komunikację międzyprocesową lokalnie lub przez sieć. Nazwany potok zazwyczaj występuje w postaci pliku i dołączonych do niego procesów.
Dane kontekstowe o nazwanym potoku w systemie, w tym nazwa potoku i tworzący go proces (np. Sysmon EIDs 17-18).
Zasób pamięci masowej (zazwyczaj folder lub dysk) udostępniany z jednego hosta innym przy użyciu protokołów sieciowych, takich jak Server Message Block (SMB) lub Network File System (NFS).
Informacje dotyczące otwarcia udziału sieciowego, co powoduje udostępnienie jego zawartości żądającemu (np. Windows EID 5140 lub 5145).
Network Connection Creation
Informacje dotyczące rozpoczęcia/utworzenia połączenia sieciowego, przechwytywanie informacji o gnieździe ze źródłowym/docelowym IP i portem(ami) (np. Windows EID 5156, Sysmon EID 3 lub Zeek conn.log).
Zalogowane dane o ruchu sieciowym pokazujące zarówno wartości nagłówka protokołu jak i body (np. PCAP).
Podsumowanie danych pakietów sieciowych, z metrykami, takimi jak nagłówki protokołów i objętość (np. Netflow lub Zeek http.log).
Operational Databases: Device Alarm
Informacje obejmujące alarmy związane z nieoczekiwanymi funkcjami urządzeń, takimi jak wyłączenia, ponowne uruchomienia, awarie lub zmiany konfiguracji.
Operational Databases: Process History/Live Data
Informacje obejmujące wszelkie magazyny danych, które przechowują zdarzenia historyczne lub te w czasie rzeczywistym, a także telemetrię pochodzącą z różnych czujników lub urządzeń.
Operational Databases: Process/Event Alarm
Informacje obejmujące wykaz wszystkich alarmów procesowych lub alarmów wytworzonych w celu wskazania nietypowej lub niepokojącej aktywności w ramach procesu operacyjnego (np. podwyższona temperatura/ciśnienie).
Złośliwy profil internetowy reprezentujący użytkownika, powszechnie wykorzystywany przez przeciwników do inżynierii społecznej lub w inny sposób ukierunkowany na ofiary.
Założone, skompromitowane lub w inny sposób zdobyte „persony” w mediach społecznościowych.
Informacje dotyczące tworzenia nowego pod’a (np. kubectl apply|run). Pod jest obiektem abstrakcyjnym Kubernetes, który reprezentuje grupę jednego bądź wielu kontenerów (jak np. Docker) wraz ze wspólnymi zasobami dla tych kontenerów.
Wyodrębniona lista pod’ów w klastrze (np. kubectl get pods). Pod jest obiektem abstrakcyjnym Kubernetes, który reprezentuje grupę jednego bądź wielu kontenerów (jak np. Docker) wraz ze wspólnymi zasobami dla tych kontenerów.
Informacje dotyczące zmian dokonanych w pod, w tym jego ustawienia i/lub dane kontrolne (np. kubectl set|patch|edit). Pod jest obiektem abstrakcyjnym Kubernetes, który reprezentuje grupę jednego bądź wielu kontenerów (jak np. Docker) wraz ze wspólnymi zasobami dla tych kontenerów.
Dzienniki monitorowania wywołań interfejsu API do urządzeń końcowych przez proces.
Informacje dotyczące otwarcia procesu przez inny proces, zazwyczaj w celu odczytania pamięci procesu docelowego (np. Sysmon EID 10).
Informacje dotyczące tworzenia pliku wykonywalnego, zarządzanego przez system operacyjny, który może obejmować jedno lub więcej zadań lub wątków (np. Win EID 4688, Sysmon EID 1, cmd.exe > net use, itp.).
Dane kontekstowe o uruchomionym procesie, które mogą zawierać takie informacje jak zmienne środowiskowe, nazwa obrazu, użytkownik/właściciel itp.
Informacje dotyczące zmian dokonanych w procesie lub jego zawartości, zazwyczaj w celu napisania i/lub wykonania kodu w pamięci docelowego procesu (np. Sysmon EID 8).
Informacje dotyczące zakończenia/wyjścia z uruchomionego procesu (np. Sysmon EID 5 lub Windows EID 4689).
Informacje dotyczące tworzenia nowego zaplanowanego zadania (np. Windows EID 4698 lub /var/log cron logs). Zaplanowane zadania to zautomatyzowane zadania, które mogą być wykonywane w określonym czasie lub według powtarzającego się harmonogramu działającego w tle (np. deamon Cron, Task Scheduler, BITS).
Dane kontekstowe o zaplanowanym zadaniu, które mogą zawierać takie informacje jak nazwa, czas, polecenie(a) itp. Zaplanowane zadania to zautomatyzowane zadania, które mogą być wykonywane w określonym czasie lub według powtarzającego się harmonogramu działającego w tle (np. deamon Cron, Task Scheduler, BITS).
Scheduled Job Modification
Informacje dotyczące zmian dokonanych w zaplanowanych zadaniach (Task Scheduler), takich jak modyfikacje uruchomienia (np. Windows EID 4702 lub /var/log cron logs). Zaplanowane zadania to zautomatyzowane zadania, które mogą być wykonywane w określonym czasie lub według powtarzającego się harmonogramu działającego w tle (np. deamon Cron, Task Scheduler, BITS).
Informacje dotyczące wykonania skryptu przez interpreter (np. Powershell, WMI, Windows EID 4104 itp.).
Sensor Health: Host Status
Informacje dotyczące rejestrowania, przesyłania komunikatów i innych artefaktów wskazujących na stan czujników hosta (np. metryki, błędy i/lub wyjątki z aplikacji rejestrujących logi). Informacje z telemetrii hosta dostarczające wgląd w stan systemu, błędy lub inne czynności funkcjonalne.
Informacje dotyczące tworzenia nowej usługi/deamon’a (np. Windows EID 4697 lub logi deamon’a /var/log).
Dane kontekstowe o usłudze/daemon’ie, które mogą zawierać takie informacje jak nazwa, service executable, start type itp.
Informacje dotyczące zmian dokonanych w usłudze/deamon’ie, takie jak zmiany nazwy, opisu i/lub start type (np. Windows EID 7040 lub /var/log logi demona).
Informacje dotyczące tworzenia nowego snapshot’u (np: AWS create-snapshot).
Informacje dotyczące usuwania snapshot’ów (np. AWS delete-snapshot).
Wyodrębniona lista snapshot’ów w chmurze (np. AWS describe-snapshots).
Dane kontekstowe o snapshot’cie, które mogą zawierać takie informacje jak ID, typ i status.
Informacje dotyczące zmian dokonanych w snapshot’cie, takie jak metadane i dane kontrolne (np. AWS modify-snapshot-attribute).
User Account Authentication
Informacje dotyczące próby uzyskania przez użytkownika dostępu do sieci lub zasobów obliczeniowych, często poprzez podanie danych uwierzytelniających (np. Windows EID 4776 lub /var/log/auth.log).
Informacje dotyczące tworznia nowego konta (np. Windows EID 4720 lub logi /etc/passwd).
Informacje dotyczące usunięcia konta (np. Windows EID 4726 lub /var/log access/authentication logs).
Dane kontekstowe o koncie, które mogą obejmować nazwę użytkownika, identyfikator użytkownika, dane środowiskowe itp.
User Account Modification
Informacje dotyczące zmian dokonanych na koncie, takie jak uprawnienia i/lub przynależność do określonych grup (np. Windows EID 4738 lub /var/log access/authentication logs).
Informacje dotyczące tworzenia woluminu w chmurze (np. AWS create-volume).
Informacje dotyczące usunięcie woluminu w chmurze (np. AWS delete-volume).
Wyodrębniona lista dostępnych woluminów w chmurze (np. AWS describe-volumes).
Dane kontekstowe dotyczące woluminu chmury i aktywności wokół niego, takie jak identyfikator, typ, stan i rozmiar.
Informacje dotyczące zmian dokonywanych w woluminie w chmurze, w tym jego ustawienia i dane kontrolne (np. AWS modify-volume).
Informacje dotyczące tworzenia nowych danych uwierzytelniających (np. Windows EID 1200 lub 4769). Dane uwierzytelniające, czyli np. pliki cookie sesji lub tokeny, używane do uwierzytelniania w aplikacjach i usługach internetowych.
Informacje dotyczące próby uzyskania przez użytkownika dostępu do sieci lub zasobów poprzez podanie poświadczeń webowych (np. Windows EID 1202).
Windows Registry Key Access
Informacje dotyczące dostępu do klucza rejestru, zazwyczaj w celu odczytania powiązanej wartości (np. Windows EID 4656).
Windows Registry Key Creation
Informacje dotyczące tworzenia nowego klucza rejestru (np. Windows EID 4656 lub Sysmon EID 12).
Windows Registry Key Deletion
Informacje dotyczące usunięcia klucza rejestru (np. Windows EID 4658 lub Sysmon EID 12).
Windows Registry Key Modification
Informacje dotyczące zmian dokonanych w kluczu rejestru i/lub wartości klucza (np. Windows EID 4657 lub Sysmon EID 13|14).
Infrastruktura do zarządzania danymi i operacjami, która umożliwia lokalne i zdalne zarządzanie komputerami osobistymi i serwerami Windows.
Informacje dotyczące tworzenia nowych obiektów WMI, takich jak filtr, konsument, subskrypcja, wiązanie lub dostawca (np: Sysmon EIDs 19-21).