Tdm 4pda: Мэрия Москвы разработала TDM Messenger — «полноценную замену» Telegram и Skype / Хабр

Мэрия Москвы разработала TDM Messenger — «полноценную замену» Telegram и Skype / Хабр

По информации «РБК», подведомственное департаменту информационных технологий Москвы (ДИТ) Госучреждение «Информационный город» (INFOGOROD, GKU) разработало сервис TDM Messenger. Согласно описанию приложения, это «полноценная замена» Telegram и Skype с «беспрецедентным уровнем безопасности, отказоустойчивости и масштабируемости для совместной работы пользователей в государственных структурах».

Защищенный мессенжер TDM Messenger некоторое время был доступен для скачивания в Google Play. Сейчас программа удалена из этого магазина приложений разработчиками. Это было сделано после запроса СМИ в ДИТ. Перед этим представитель ДИТ пояснил, что ведомство «системно тестирует новые решения», но от дальнейших комментариев отказался.

В магазине приложений App Store также был размещен похожий мессенджер.

Так выглядят скриншоты экрана приложения, согласно данным агрегатора приложений AppAgg.

Издание «РБК» уточнило, что в графе «связь с разработчиком» в мессенджере для Android была указана ссылка на сайт компании «Айди Партнер» (ID Partner), которая действительно занимается разработкой подобного решения. В этой компании не ответили за запрос «РБК».

На сайте разработчика указано, что мессенджер обеспечивает шифрование голосовых звонков и сообщений «согласно национальным стандартам», а все его данные хранятся «в доверенном дата-центре». Также есть возможность централизованного администрирования аккаунтов, интеграции с IT-системами организаций и госучереждений, с ним поставляются инструменты для журналирования и аудита данных пользователей.

Обучающие видеоролики по работе с TDM Messenger пока что доступны в YouTube.

Эксперт компании, которая разрабатывает решения по анализу больших данных для госструктур, пояснил «РБК», что TDM Messenger фактически является аналогом корпоративного мессенджера Slack. Это приложение также можно использовать для интеграции ведомственного документооборота компании.

Представитель Фонда развития цифровой экономики рассказал «РБК», что сейчас многие сотрудники госструктур используют для общения Telegram и WhatsApp, но в любой момент времени могут остаться без доступа к связи, в том числе из-за сбоев в работе сервисов. Поэтому переход чиновников на надежное средство связи для внутреннего использования вскоре будет востребован и очень даже возможен. Тем более, что последнее время все больше возникает необходимости в защите информации, в том числе и конфиденциального характера, которые пользователи организаций сейчас передают через открытые каналы доступа.

В 2016 году Институт развития интернета (ИРИ) вместе с «Ростелекомом» и Минкомсвязи (сейчас Минцифры) проводили отбор разработчиков для государственного мессенджера. Рабочая группа хотела, чтобы в приложении использовался специальный шифрованный протокол передачи данных, и его могли устанавливать все пользователи страны, а не только госслужащие. Проект этого мессенджера тогда не пошел в реализацию, а предлагаемые разработки были выкуплены крупными корпорациями.

В середине февраля СМИ стало известно, что российские власти обеспокоены распространением и доступностью в Telegram множества ботов, которые за невысокую плату предоставляют информацию, включая персональные данные, о жителях страны. Причем этот рынок продолжает расти, а уровень входа в эту систему стал намного прощ. У госрегуляторов нет возможности противодействовать работе ботов для «пробива», а представители мессенжера не особо обращают внимания на факты их присутствия в сервисе.

Центр загрузки

Ethernet коммутаторы доступа

Ethernet коммутаторы агрегации

Ethernet коммутаторы для ЦОД

Ethernet коммутаторы индустриальные

Неуправляемые коммутаторы

Маршрутизаторы

Сервисные маршрутизаторы

Межсетевые экраны

Сервисные криптомаршрутизаторы

Оборудование GPON

Оборудование Turbo GEPON

Оборудование 10G-PON

Зонды SLA

Enterprise Wi-Fi точки доступа

2g-3g-4g терминалы

Контроллер Wi-Fi сетей

Станции БШПД

Абонентские VoIP-шлюзы

Транковые шлюзы SMG

Softswitch

Офисные IP-АТС

IP-телефоны

IPTV- медиацентры

Платформа

Безопасность

Комфорт

Конвертеры

Освещение

Регистраторы

Сетевые контроллеры СКУД

Абонентские терминалы

Репитеры

Лицензии

Промышленные контроллеры

Терминальные клиенты

Смарт-клиенты

ЦАТС МС240

ЦАТС МС240. Модификация МС240AN

Гибкий мультиплексор Маком-MX

Прочее

IP DSLAM

SHDSL-модемы

Оборудование для каналов ТЧ

Оборудование доступа

Оптические мультиплексоры ToPGATE

Регенераторы DSL-линии

Устройства электропитания

Системы управления Eltex

MES1024, MES1124(M)(MB)

MES3108(F), MES3116(F), MES3124(F)

MES5148

ESR-10

MA4000-PX

LTE-2X

WEP-12ac

WB-2

RG серии 1400

NV-100, NV-101

TC-10

УПАТС МС-240

MXA-24

Firebird

Оптические мультиплексоры ToPGATE

Регенератор RDSL-1/2/2-2

Устройство электропитания УЭП1-1

Программный коммутатор ECSS-10 (Softswitch)

TC-50

VP-12, VP-12P

MES2328I

ESR-20 FSTEC

MES2124(M)(MB)(F)(P)

MES3308F, MES3316F, MES3324(F)

MES5248

ESR-12V

OLT LTP-8X

LTE-8X

LTE-8ST (снято с производства)

WOP-12ac

RG-1504GF-Wac

NV-102

TC-20

ЦАТС МС-240

MXA-32

NCS_MON

Устройство электропитания УЭП2-3

Комплекс ECSS-10 УОВЭОС

VP-15, VP-15P

MES3508, 3508P, 3510P

ESR-21 FSTEC

MES2208(P)

MES3348(F)

MES5324

ESR-12VF

NTP-2(C)

NTE-2(C)

RG серии 2400

NV-300

БКП-М

MXA-64

PcmGate

Устройство электропитания УЭП2-5

Селекторная связь

VP-17P

MES3708P

ESR-100 FSTEC

MES2308(R)

MES5312

ESR-14VF

NTE-RG-14xx(F)(G)(C)-(W)

RG серии 4400

RG серии 5400

NV-31х

ЦАТС МС240. БКП (снято с производства)

Устройство электропитания УЭП3-3

Система видеоконференцсвязи VCS-2000

VP-20, VP-20P

ESR-200 FSTEC

MES2324(B)(F)(FB)

MES5316A, MES5324A, MES5332A

ESR-20

NTE-RG-1402G(C)-(W) rev B

TAU-1M.IP (1 FXS)

NV-501, NV-501-Wac

ЦАТС МС240 V.2 (снято с производства)

Устройство электропитания УЭП1-4 (снято с производства)

ESR-1000 FSTEC

MES2348B

MES5400-24, MES5400-48

ESR-21

WEP-2ac-Z

TAU-2M.IP (2 FXS)

NV-510-WB, NV-510-Wac

ESR-1500 FSTEC

Офисная IP АТС SMG-200

MES2308P, MES2324P, MES2348P

MES5448

ESR-100

NTP-RG-1402G(C)-(W)

TAU-4M.IP (4 FXS)

NV-710, NV-710-Wac, NV-710-WB

ESR-1511 FSTEC

Офисная IP АТС SMG-500

MES2408(B)(C)

MES7048

NTP-RG-1402G(C)-(W) rev B

TAU-1E.IP (1 FXS)

NV-711, NV-711-Wac, NV-711-WB

MES1428(B),MES2428(B)(T)

ESR-1000

NTP-RG-1402G(C)-(W) rev C

TAU-104F. IP (1 FXS)

NV-720, NV-720-WB

MES2408P, MES2408CP, MES2408PL, MES2428P

ESR-1200

TAU-2.IP (2 FXS)

NV-721, NV-721-WB

MES2424(B)

ESR-1500

TAU-4.IP (4 FXS)

NV-730, NV-730-WB

MES2424P

ESR-1511

TAU-8.IP-(W) (8 FXS)

NV-731, NV-731-WB

MES2448(B)

ESR-1700

TAU-8N.IP (8 FXS)

MES2448P

ESR-3100

TAU-16.IP (16 FXS)

TAU-24.IP (24 FXS)

TAU-32.IP (32 FXS)

TAU-32M.IP (32 FXS/FXO)

TAU-36.IP (36 FXS)

TAU-72.IP (72 FXS)

MSAN MC1000-PX

ESR-200

SMG-2

SMG-4

SMG-1016M

SMG-2016

Беспроводной датчик протечки воды SZ-WLK

Инструкция по работе с системой Service Desk

Сервисные криптомаршрутизаторы

MES2411X

MES3300-24F

MES2300B-24F

MES5500-32

ESR-3200

ESR-30

ESR-15

ONT NTU-2V

OLT LTP-4X rev.B

OLT LTP-8X rev.B

ONT NTU-RG-1402G-W

ONT NTU-1

ONT NTU-RG-1421(31)G-Wас

ONT NTU-SFP-100

OLT LTP-4X rev. C

OLT LTP-8X rev.C

ONT NTU-2W

ONT NTU-2VC

ONT NTU-RG-1421GC-Wac

NTU-RG-1421G-WZ

ONT NTU-1C

ONT NTU-RG-5402G-W

ONT NTU-RG-5421G-Wac

ONT NTU-RG-5421G-WZ

ONT NTU-52V

ONT NTU-52VC

ONT NTU-RG-5421GC-Wac

OLT LTP-16N

ONT NTU-RG-5440G-Wac

ONT NTU-RG-5440G-WZ

ONT NTU-MD500P

NTU-RG-5420G-Wac

NTU-RG-5420G-WZ

NTU-SFP-200

NTU-52W

NTE-RG-1421G-WAC

NTE-RG-1421G-WZ

WEP-2ac

WOP-2ac

WEP-2ac Smart

WB-15-W

WOP-2L

WEP-1L

WEP-2L

WB-15-W2

WEP-3ax

WEP-3ax-Z

WOP-3ax

WEP-20L

WEP-200L

WOP-20L

WEP-30L

WOP-30L

RG-34-Wac

RG-35-Wac

RG-31-Wac

RG-35-WZ

RG-5440G-WZ

RG-5440G-Wac

SBC-1000

SBC-2000

SMG-1016M-V52AN

SMG-2016-V52AN

SMG-1016M-SIGTRAN

SMG-2016-SIGTRAN

SMG-3016

SBC-3000

МС240AN (абонентский вынос по протоколу V5. 2)

Маком-МХ

Soft for Linux

Конверторы для биллинга

MXL2

MXL2-2

MXL2E-2, MXL2E-4

8ТДНИ, 8ТДНВ

ТАУ-4

ТАУ-1, ТСУ-1

MXE-4

MXM-12

Оптический мультиплексор ToPGATE-WAN-E1

AutoProvision

Мобильное приложение IP Phone Eltex

Call-центр ECSS-10

Phone Desktop Assistant

Сервис «Автосекретарь»

Eltex.EMS

Eltex.ACS

ELTEX.AppStore Server

Eltex.ECCM

EDM Issue

WB-1P-LR

WOP-12ac-LR

WB-2P-LR5

WOP-2ac-LR5

WOP-2ac-LR2

WB-2P-LR2

WOP-2ac-LR2 SYNC

WOP-2ac-LR5 SYNC

Неуправляемые коммутаторы серии MES3100 Rev. E

Eltex.SoftWLC

WLC-HW-50

WLC-HW-100

WLC-30

Маршрутизатор ME5100S

Маршрутизатор ME5000

Маршрутизатор ME5200

MЕ5100 rev.X

Маршрутизатор ME5000M

MES3710P

WB-11P

Платформа Eltex SC

Платформа Eltex SC. АСД

Промышленный коммутатор MD1

Промышленный контроллер MD3

Лицензии

Беспроводной датчик движения SZ-PIR

Беспроводной магнитоконтактный датчик открытия SZ-MCT

Беспроводной датчик разбития стекла SZ-GLB

Датчик открытия SZ-MCT rev. C

Датчик движения SZ-PIR rev.C

Регистратор потребления электроэнергии SZ-P04С

Контроллер беспроводной сети SZ-CP04EС

Регистратор потребления воды SZ-W02

MD1-CV-RS-232A, MD1-CV-RS485A

IPA-ES-232/485

Репитер RR-10

Репитер RR-11

Репитер RR-10 rev.B

Ethernet-реле IPA-ER-001

Wi-Fi-реле SW-RLY01

Wi-Fi розетка SW-PLG01

Wi-Fi-реле SW-RLY02

ESR-100-ST, ESR-200-ST, ESR-1000-ST

RR-10 SLA

IPA-ER-010

IPA-ER-011

Датчики качества воздуха SZ-Air

Беспроводной датчик протечки воды SZ-WLK rev.B

NTX-1(F)

LTX-8, LTX-16

SMG-1016 (снято с производства)

MES3508, 3508P, 3510P

MES2324(B)(F)(FB)

MES2348B

MES2308P, MES2324P, MES2348P

MES2408(B)(C)

ESR-1500

ESR-3100

WEP-200L

SMG-3016

SBC-3000

AutoProvision

ELTEX.AppStore Server

WOP-12ac-LR

WB-2P-LR5

WOP-2ac-LR5

WOP-2ac-LR2

WB-2P-LR2

Маршрутизатор ME5100S

Маршрутизатор ME5000M

Регистратор потребления электроэнергии SZ-P04С

Контроллер беспроводной сети SZ-CP04EС

MD1-CV-RS-232A, MD1-CV-RS485A

Репитер RR-10 rev. B

TDM Transportes Company Insights, технический стек и конкуренты

Компании /
TDM Transportes

Последнее обновление: 26 мая 2022

Com 8 anos de atuação no mercado e uma equipe que semper trabalhou no ramo, a TDM TRANSPORTES é uma empresa que atua no transporte rodoviário de cargas, que tem como missão agregar clientes aos aos …por meio da excelência no serviço prestado.
Подробнее

TDM Transportes Technology Stack

Найдите потенциальных клиентов по технологиям, которые они используют. Используйте этот раздел, чтобы узнать
подробнее о ключевых технологиях и инструментах, используемых TDM Transportes, и о том, как они
влияют на взаимодействие пользователей и взаимодействие с компанией. Изучите технологии 16 в категориях 10 , используемых
TDM Transportes

Языки программирования и фреймворкиМаркетингСвязьСотрудничествоРазработка и разработкаБизнес-аналитика и аналитикаЭлектронная коммерцияКомпьютерные сетиПродажиHR

JavaScript

Да, я тоже этим пользуюсь

Нет, я не использую это

«> JavaScript — это язык программирования HTML и Интернета.

Полифилл

Да, я тоже этим пользуюсь

Нет, я не использую это

Polyfill как услуга обнаруживает и возвращает пакет полифиллов JavaScript на основе cu…

PHP

Да, я тоже этим пользуюсь

Нет, я не использую это

PHP code may be embedded into HTML code, or it can be used in combination with various web template systems, web content management systems, and web frameworks.»> PHP: препроцессор гипертекста — это серверный язык сценариев, разработанный для веб-разработк…

HTML

Да, я тоже этим пользуюсь

Нет, я не использую это

«> Язык гипертекстовой разметки (HTML) — это стандартный язык разметки для документов, предназначенных для…

Подробнее
технологии

Профиль сотрудника

Вы ищете лиц, принимающих решения в TDM Transportes?
Получите их адрес электронной почты, номера телефонов и другую информацию от Linkedin или любого веб-сайта.
Установите и откройте данные о сотрудниках TDM Transportes менее чем за 30 секунд.

Зарегистрируйтесь в 6sense Revenue AI™ for Sales

Чтобы найти электронные письма, прямой набор и многое другое для потенциальных клиентов в Интернете.

Часто задаваемые вопросы

Ознакомьтесь с часто задаваемыми вопросами о деятельности TDM Transportes, включая информацию об основании, головной офис,
информация о стеке технологий, отраслевом списке и другие детали.

Что такое официальный сайт TDM Transportes?

Официальный сайт TDM Transportes: tdmlogistica. com.br
Вы можете найти их контактный номер, адрес электронной почты и штаб-квартиру по адресу
нажмите здесь.

Сколько сотрудников работает в TDM Transportes?

6sense отслеживает 250–499 сотрудников, которые
работают в TDM Transportes.
Вы можете узнать больше об их сотрудниках через LinkedIn или их веб-сайт, используя
Расширение 6sense для Chrome.
Кроме того, проверьте вакансии и категории найма в TDM Transportes, упомянутые ранее на этой странице, чтобы определить
в каком секторе развивается компания.

В какой отрасли работает TDM Transportes?

TDM Transportes работает в сфере
Транспорт/Автоперевозки/Железная дорога.

Что такое технический стек TDM Transportes?

Лучшие технологии, используемые TDM Transportes:
JavaScript
,
Полифилл
и
PHP

.
Вы также можете изучить 16 технологий по всему миру.
10 категорий, используемых TDM Transportes, упомянутых ранее на этой странице.

Где находится штаб-квартира TDM Transportes?

Штаб-квартира TDM Transportes находится по адресу
Гояния, Гояс, Бразилия.
Чтобы узнать точный адрес разблокировки сейчас.

Языки

JavaScript MVC-фреймворк

Языки программирования

Поисковый маркетинг

Социальная реклама

Управление тегами

Онлайн-встречи

Веб- и видеоконференц. ..

Управление электронной почтой

JavaScript

Карты Гугл

G Suite

G Suite

Хостгатор

Гугл Аналитика

WooCommerce

Хостгатор DNS

Полезные источники ведения журналов доменов и DNS — DomainTools

Блог General Infosec

29. 12.2020

Поделиться записью

ДоменИнструменты
@DomainTools

Введение

Этот последний пост посвящен другим источникам журналов для DNS и журналов домена, которые не были рассмотрены в предыдущих двух постах. Затем этот пост заканчивается примечанием о проблемах, которые нужно предвидеть, а также идеями для следующих шагов, помимо ведения журнала.

Если вы еще этого не сделали, взгляните на предыдущие сообщения в этой серии:

• Ведение журналов DNS и доменов: взгляд с высоты птичьего полета
• Как целенаправленный сбор журналов укрепляет защиту клиента и сети
• Максимизация защиты с помощью ведения журналов DNS Windows
• Повышение видимости DNS-серверов Linux с помощью сбора журналов

Другое Источники релевантных данных журнала

Существуют дополнительные источники журнала событий, содержащие ценные метаданные. От инструментов IDS/IPS до брандмауэра и журналов обмена почтой — используйте метаданные для извлечения IP-адресов, имен хостов и других метаданных для дальнейшего информирования IR и работы по поиску угроз. IP-адреса можно использовать для отслеживания и исследования инфраструктуры или использовать данные для проведения обратной проверки IP-адреса на имя хоста, чтобы перейти к связанным доменам и найти профиль угроз и оценку риска. В первой половине этого раздела кратко рассматриваются другие источники, а в последней половине приводятся подробные примеры.

Управляемые DNS-провайдеры

Amazon Route 53 Ведение журнала DNS-запросов и CloudWatch

Настройте Amazon Route 53 для регистрации информации об общедоступных DNS-запросах, которые получает Route 53 (см. Руководство для разработчиков здесь). Доступные метаданные аналогичны другим источникам регистрации DNS-запросов: запрошенный домен или поддомен, дата и временная метка, тип записи DNS, код ответа DNS и пограничное местоположение Route 53, которое ответило на DNS-запрос. Если вы используете Amazon CloudWatch Logs для мониторинга, хранения и доступа к файлам журналов запросов DNS, вы также можете выполнять потоковую передачу этих журналов на свой экземпляр LM и SIEM.

Google Cloud DNS

Ведение журнала Google Cloud DNS отслеживает запросы, которые серверы имен разрешают для сетей VPC (Virtual Private Cloud).

Доступны другие поставщики управляемых DNS. Ознакомьтесь с их документацией, чтобы узнать, как настроить ведение журнала запросов и ответов.

Журналы прокси-сервера 

Журналы прокси-сервера являются распространенным источником информации для метаданных домена. Эти журналы содержат запросы, сделанные внутри сети как от пользователей, так и от приложений.

Журналы пакетов DNS

В дополнение к захвату и прослушиванию пакетов средствами сетевого анализа также можно настроить ведение журнала пакетов и настроить его только для сбора журналов пакетов определенных протоколов, таких как пакеты DNS. Однако захват пакетов и регистрация пакетов предоставляют только метаданные, относящиеся к DNS. Например, невозможно получить дополнительные сведения о хосте, на котором возникло это событие, или о том, какой конкретный пользователь или действие пользователя вызвало это событие.

Журналы, созданные с помощью инструментов IDS/IPS

Журналы, созданные инструментами IDS/IPS, такие как правила и оповещения, могут быть собраны и перенаправлены в ваш LM/SIEM. Примеры:

• Zeek (ранее Bro) Ведение журнала запросов и ответов DNS для сбора и получения запросов и ответов DNS. Также используется в сочетании с Hotlist домена.
• Правила Snort DNS, которые проверяют ответы на запросы DNS и предпринимают действия на основе ответа.
• DNS-правила Suricata для регистрации и сбора связанных событий, создания основанных на событиях действий, таких как сопоставление DNS-запросов с черным списком (т. е. Hotlist домена) или запись событий журнала для сбора DNS-запросов и журналов ответов.

События почтового сервера Exchange

Существует несколько вариантов использования журналов, созданных вашим почтовым сервером обмена:

• Обнаружение известной инфраструктуры фишинга/спама.
  • Отправлено известным фишингом или плохой инфраструктурой.
  • Пример: « Позвоните мне по телефону 1-888-382-1222, чтобы настроить VPN — Мэтью (из службы технической поддержки). »
• Обнаружение известных фишинговых/спамовых ссылок в теле письма.
  • Содержит фишинговые ссылки, но действие пользователя было выполнено на основе последующих журналов событий (т. е. пользователь щелкает ссылку, запрашиваемый домен появляется в журналах).
  • Пример: « Щелкните здесь, чтобы загрузить сертификат VPN — Мэтью (из службы технической поддержки). »
• Дальнейшее расследование еще неизвестных признаков фишинга.

Источники событий для журналов Exchange:

• Канал управления MSExchange в журнале событий (называемый «Управление MSExchange»)
• Журналы отслеживания сообщений, где расположение по умолчанию — %ExchangeInstallPath%TransportRolesLogsMessageTracking

Журнал отслеживания изменений имеет поля, заполненные метаданными для поиска угроз и расследований с помощью DomainTools. Среди них:

• client-ip : IP-адрес сервера/клиента обмена сообщениями, отправившего сообщение.
• client-hostname : Имя хоста/FQDN сервера/клиента обмена сообщениями, отправившего сообщение.
• server-ip : IP-адрес исходного или целевого сервера.
• server-hostname : Имя хоста/FQDN целевого сервера.
• Поле значения источника включает DNS в качестве известного источника.

IP-адрес клиента и имя хоста клиента отвечают на вопросы «какая инфраструктура отправила это сообщение», которые аналитик использует для поиска дополнительной информации об инфраструктуре.

IP-адрес сервера и имя хоста сервера являются целевым адресом. Это отвечает на вопрос, «на кого было направлено это сообщение».

Упреждающая защита Примечание. Используйте продукты API DomainTools или исследовательскую платформу Iris для дальнейшего изучения захвата метаданных в этих полях. Пример работы с Iris:

• Имена хостов извлекаются из поля client-hostname из журналов MSExchange.
• Домены извлекаются с последующим списком доменов, а затем импортируются в Iris.
• Оценка риска домена, связанная с каждым доменом, указывает уровень риска для этого домена.
• Дальнейшие решения:
  • Корреляция между именем хоста клиента и IP-адресом сервера.
  • Изолируйте этот IP-адрес целевого сервера или даже настройте дополнительное ведение журнала для поиска других IOC (идентификаторы событий и другие события, которые могут генерироваться для указания на дальнейшую компрометацию или боковые перемещения).
• Добавить в черный список в дополнение к использованию списка избранных доменов.

Ведение журнала брандмауэра Windows

Другие источники данных журнала, содержащие ценные данные IP, включают журналы брандмауэра из канала EventLog брандмауэра Windows.

Проактивная защита Примечание. Используйте список доменов в качестве черного списка на периметре сети брандмауэра.

«Поиск продвинутых атак и вредоносного ПО с помощью всего 6 Windows EventID» Майкла Гофа (известного также как «Археолог вредоносных программ») содержит дополнительную информацию о жизненном цикле этих EventID, сигнализирующих об атаке. Событие с кодом 5156 запускается, когда платформа фильтрации Windows позволяет программе подключиться к другому процессу (на том же или удаленном компьютере) через порт TCP или UDP. Ценные метаданные этого источника событий указывают на командование и управление или источник атаки, а также на то, какое приложение использовалось для связи с внешним или внутренним IP-адресом.

Упреждающая защита Примечание. Используйте API-интерфейс Iris Investigate DomainTools, API-интерфейсы Classic Tools или платформу расследования Iris для дальнейшего изучения этого IP-адреса. Результаты включают в себя поиск информации об IP-инфраструктуре, выявление подключенной инфраструктуры, поиск подключений этого IP-адреса, обратный поиск IP-адреса.

Ведение журнала Windows IIS Server

 <13>9 сентября 17:38:25 IIS-SERVER 2020-09-09 17:38:25 MALICIOUS_CLIENT_IP_HERE GET /welcome.png - 80 - ::1 Mozilla/5.0+(Windows +NT+10.0;+Win64;+x64;+rv:69.0)+Gecko/20100101+Firefox/69.0 http://localhost/ 200 0 0 11 

В приведенном выше примере показано событие журнала в формате системного журнала, созданное локальным (тестовым) сервером IIS.

Например, если имеется необычное количество запросов от IP-адреса клиента (обозначается MALICIOUS_CLIENT_IP_HERE ), аналитик может захотеть проверить, не является ли связанный IP-адрес вредоносным.

Упреждающая защита Примечание. Проведите обратную проверку DNS (т. е. проведите проверку, чтобы найти имена хостов, связанные с IP-адресом клиента). Из обратной проверки DNS (чтобы найти имя хоста) проверьте инфраструктуру или связанную с ней оценку риска или профиль угроз либо в Iris, либо с помощью API.

Проблемы

Увеличение требований к хранилищу SIEM и LM и стоимости

Проблемы с инфраструктурой связаны с проблемами хранения и лицензирования, поскольку может потребоваться увеличение емкости из-за дополнительных требований к ведению журналов. Тем не менее, есть решения для их обхода. Они включают целевое ведение журнала (выборочный сбор только определенных EventID или каналов ведения журнала), дедупликацию журналов, удаление ненужных полей метаданных события журнала, ведение журнала пакетного сжатия и многое другое.

Другие сопутствующие расходы, которые также могут увеличиться, включают:

1. Стоимость подписки . Это случаи, когда агент журналов или LM/SIEM включает стоимость подписки, ориентированную на прием данных. Могут быть пользователи или клиенты, использующие Community Edition или бесплатных агентов, у которых есть ограничения на прием событий.
2. Стоимость персонала . Для развертывания экземпляров или сценариев развертывания, требующих ведения журнала на основе агента, могут потребоваться администраторы или другой специализированный персонал. Некоторые конечные точки также требуют дополнительной работы, например конечная точка, для которой требуется настроить дополнительные параметры для развертывания ведения журнала.

Проблемы с инфраструктурой, связанные с ведением журнала

Регистрация запросов и/или запросов проблематична из-за таких проблем, как снижение производительности сервера (требуется дополнительная обработка), проблемы с хранилищем и т. д. С точки зрения проблем, связанных с обработкой, каждый раз, когда происходит запрос или событие ответа, DNS-сервер не только интерпретирует событие телеметрии как источник журнала для сбора, но также должен записывать события в файл журнала (в указанный формат), а затем отправить внешнему получателю. Кроме того, требуется дополнительный синтаксический анализ или другое обогащение, которое может обеспечить большее количество наложений на ресурс, связанных с производительностью.

Журналы должны быть структурированы и нормализованы

Журналы событий должны приниматься пакетом SIEM, который имеет свои собственные поля и схемы SIEM. Могут потребоваться дополнительные специализированные модули и надстройки (помимо того, что предлагается агентом сбора журналов) для правильного приема и обогащения журналов. Например, поле Message в журнале событий Windows может содержать ценную информацию о самом событии, которую необходимо извлечь. Журналы Linux DNS могут быть записаны в нескольких форматах, которые также необходимо нормализовать для загрузки в SIEM. Этот процесс нормализации может добавить дополнительную нагрузку на производительность.

Следующие шаги… 

…это создание конфигураций для сбора, анализа и обогащения событий из этих источников.

Хотя описание лабиринта конфигураций источников событий для множества доступных платформ выходит за рамки этой статьи, стоит повторить несколько способов их использования.

Создание сигмы и других правил обнаружения

Существуют доступные правила сигмы, которые уже созданы для таких сценариев, как обнаружение серверов C2 или обнаружение большого количества запросов к одному домену. Правила Sigma обеспечивают согласованность при обнаружении угроз. После того, как правило Sigma создано, оно затем передается (или преобразуется), чтобы любые конечные точки, которым необходимо использовать правило, например конкретная платформа SIEM, могли это сделать.

Также доступны другие ресурсы для правил обнаружения. Существуют и другие правила обнаружения, которые создаются и публикуются в Интернете, поэтому ниже приведен небольшой список:

• https://github.com/Azure/Azure-Sentinel/tree/master/Detections/DnsEvents
• https://github. com/Neo23x0/sigma/дерево/мастер/правила
  • https://github.com/Neo23x0/sigma/tree/master/rules/proxy
  • https://github.com/Neo23x0/sigma/tree/master/rules/network
• Торговая площадка SOC Prime Threat Detection (закрыта, только регистрация, с возможностью подписки сообщества). TDM содержит ряд определений правил, таких как Sigma, Elastic, Azure Sentinel, CrowdStrike, Splunk, QRadar, PowerShell, Regex, RSA NetWitness, ArcSight, Carbon Black, Sysmon и многих других.

Разработка с использованием продуктов API DomainTools

Эффективное покрытие источников событий означает, что исследователи смогут максимально эффективно использовать возможности интеграции с DomainTools.