Qualys IOC擴(kuò)展了Qualys云平臺(tái)的功能�,以提供威脅搜索、檢測(cè)可疑活動(dòng)����,并確認(rèn)網(wǎng)絡(luò)內(nèi)外設(shè)備存在已知和未知惡意軟件。
Qualys IOC擴(kuò)展了Qualys云平臺(tái)的功能���,以提供威脅搜索�、檢測(cè)可疑活動(dòng)�����,并確認(rèn)網(wǎng)絡(luò)內(nèi)外設(shè)備存在已知和未知惡意軟件��。
“威脅搜尋既依賴于先進(jìn)的威脅知識(shí)����,也依賴于對(duì)組織IT環(huán)境的深入了解,這也有利于組織本身更多地了解其IT環(huán)境���,并找到攻擊者可以藏身的地方����。”
Gartner,《如何尋找安全威脅》����,AntonChuvakin,2017年4月���。
Anton Chuvakin研究副總裁兼Gartner杰出分析師
亮點(diǎn)
可靠的代理事件集合
QualysIOC使用云代理的非侵入式數(shù)據(jù)收集和增量處理技術(shù)透明地從網(wǎng)絡(luò)內(nèi)外的資產(chǎn)中捕獲端點(diǎn)活動(dòng)信息����,這些資產(chǎn)比基于查詢的方法或日志收集器更具性能��。
安全分析師的可操作智能
客戶可以使用預(yù)先定義的威脅搜索規(guī)則�,輕松地將危害工件的指標(biāo)導(dǎo)入小部件、儀表盤和保存的搜索中����,以快速驗(yàn)證威脅情報(bào)、感染規(guī)模���、首次感染資產(chǎn)(“患者零”)和危害時(shí)間表���。
高度可擴(kuò)展的檢測(cè)處理
在Qualys云平臺(tái)上對(duì)數(shù)十億個(gè)活動(dòng)和過(guò)去的系統(tǒng)事件執(zhí)行威脅搜索���、可疑活動(dòng)檢測(cè)和OpenIOC處理,并結(jié)合來(lái)自Qualys惡意軟件實(shí)驗(yàn)室的威脅情報(bào)數(shù)據(jù)��,以識(shí)別惡意軟件感染(危害指標(biāo))和威脅參與者行為(活動(dòng)指標(biāo))��。
使用單一資產(chǎn)視圖簡(jiǎn)化調(diào)查
Qualys IOC創(chuàng)建資產(chǎn)的單一視圖�,顯示與Qualys其他云應(yīng)用程序統(tǒng)一的威脅搜索詳細(xì)信息�����,用于硬件和軟件庫(kù)存���、漏洞態(tài)勢(shì)���、策略遵從性控制以及本地服務(wù)器、云實(shí)例和離線遠(yuǎn)程端點(diǎn)的文件完整性監(jiān)控更改警報(bào)�。單個(gè)用戶界面顯著減少了事件響應(yīng)者和安全分析人員在發(fā)生破壞或妥協(xié)之前搜尋、調(diào)查���、檢測(cè)和響應(yīng)威脅所需的時(shí)間����。
輕量級(jí)和可擴(kuò)展的系統(tǒng)活動(dòng)詳細(xì)信息捕獲和搜索
從QualysIOC的單一控制臺(tái),您可以監(jiān)控所有本地服務(wù)器���、用戶端點(diǎn)和云實(shí)例的當(dāng)前和歷史系統(tǒng)活動(dòng)���,即使是當(dāng)前脫機(jī)或已由其重新映像的資產(chǎn)。
-
Qualys IOC利用云代理捕獲文件���、進(jìn)程�、變異句柄(mutex)�����、注冊(cè)表和網(wǎng)絡(luò)連接上的端點(diǎn)活動(dòng)���,并將數(shù)據(jù)上傳到Qualys云平臺(tái)進(jìn)行存儲(chǔ)、處理和查詢�。具體事件詳情包括:
-
文件名、路徑�����、MD5/SHA256hash、大小���、創(chuàng)建/刪除日期��、版本等
-
進(jìn)程名稱����、進(jìn)程參數(shù)���、進(jìn)程ID�����、映像路徑�����、映像MD5/SHA256hash���、提升狀態(tài)���、運(yùn)行/終止?fàn)顟B(tài)��、用戶名、加載模塊��、父進(jìn)程名稱�����、父進(jìn)程ID等
-
互斥句柄名稱��、進(jìn)程名稱、進(jìn)程ID���、進(jìn)程參數(shù)��、進(jìn)程映像名稱�����、進(jìn)程映像路徑、進(jìn)程映像MD5/SHA256哈希等
-
注冊(cè)表項(xiàng)����、值、數(shù)據(jù)�、檢測(cè)日期�����、圖像詳細(xì)信息
-
運(yùn)行進(jìn)程的網(wǎng)絡(luò)連接����、本地IP/端口�����、遠(yuǎn)程IP/端口����、遠(yuǎn)程解析的完全限定域名��、協(xié)議�����、狀態(tài)��、進(jìn)程名���、進(jìn)程ID、進(jìn)程參數(shù)���、映像路徑�、映像MD5/SHA256 hash等���。
-
云代理增量處理僅將資產(chǎn)中的更改事件發(fā)送到Qualys平臺(tái)進(jìn)行存儲(chǔ)����、處理和搜索����。CPU資源和網(wǎng)絡(luò)利用率的性能調(diào)整允許IOC在資源受限的系統(tǒng)上運(yùn)行�����,如固定功能設(shè)備、用戶端點(diǎn)��、云實(shí)例和虛擬機(jī)�。
快速搜索、調(diào)查����、搜尋和響應(yīng)安全事件
安全分析人員使用Web界面進(jìn)行離線搜索、搜索和調(diào)查�����,并使用可視界面輕松查找異常值�����、創(chuàng)建儀表盤以及通過(guò)透視搜索數(shù)十億個(gè)事件來(lái)執(zhí)行即席查詢�����。
-
Qualys IOC為關(guān)鍵的Advanced Persistent Threats (APT)��、CERT安全建議和識(shí)別可指示非惡意軟件攻擊的可疑進(jìn)程使用提供了多個(gè)預(yù)定義的威脅搜索小部件��,包括:
-
為惡意目的使用已知良好的應(yīng)用程序
-
惡意軟件檢測(cè)規(guī)避技術(shù),如從回收站運(yùn)行的進(jìn)程或從反病毒程序隔離文件夾運(yùn)行的進(jìn)程
-
通過(guò)快速確定網(wǎng)絡(luò)中是否存在文件哈希�����、進(jìn)程�、互斥和注冊(cè)表項(xiàng),輕松驗(yàn)證威脅智能報(bào)告�����。Qualys IOC時(shí)間序列數(shù)據(jù)搜索結(jié)果顯示當(dāng)前正在運(yùn)行的指標(biāo)或以前在網(wǎng)絡(luò)中執(zhí)行但不再存在的指標(biāo)����。
-
用戶可以添加自己的折衷指標(biāo),包括文件哈希�����、進(jìn)程名���、互斥體�、IP和域名���,還可以為可疑行為定義全面的搜索邏輯�。示例包括:
-
具有網(wǎng)絡(luò)連接的Java進(jìn)程
-
Cmd.exe父進(jìn)程是Java
-
在C:\windows\system32目錄外運(yùn)行的? Svchost.exe
-
在沒(méi)有圖像的情況下運(yùn)行進(jìn)程
Qualys惡意軟件家族檢測(cè)
Qualys惡意軟件實(shí)驗(yàn)室不斷地在平臺(tái)中使用OpenIOC格式創(chuàng)建新的行為模型,用于檢測(cè)新的和以前的事件�,以在不使用簽名的情況下查找企業(yè)目標(biāo)惡意軟件系列變體����。
大多數(shù)惡意軟件創(chuàng)新的重點(diǎn)是創(chuàng)建現(xiàn)有惡意軟件系列的新變體,以避免基于簽名的系統(tǒng)檢測(cè)��,這是Qualys IOC應(yīng)用程序中的檢測(cè)能力標(biāo)準(zhǔn)�。
-
當(dāng)Malware Labs團(tuán)隊(duì)將新的行為模型發(fā)布到Qualys平臺(tái)時(shí),自動(dòng)檢測(cè)新的惡意軟件系列變體��。
-
通過(guò)檢測(cè)傳統(tǒng)方法遺漏的惡意軟件系列變體來(lái)增強(qiáng)現(xiàn)有端點(diǎn)安全性��。
-
識(shí)別第一階段阻止執(zhí)行的惡意軟件下載程序�����,與在網(wǎng)絡(luò)外主動(dòng)通信的持續(xù)運(yùn)行的惡意軟件相比����。
-
透視以顯示惡意軟件感染前發(fā)生的系統(tǒng)事件(進(jìn)程執(zhí)行、新文件�����、新注冊(cè)表項(xiàng)),以識(shí)別新的漏洞攻擊向量和新的感染技術(shù)�����。
-
將惡意軟件感染與QualysThreat Protection漏洞相關(guān)聯(lián)�,利用智能確定針對(duì)您企業(yè)的目標(biāo)攻擊是否成功。
由Qualys Cloud Platform提供支持
Single-pane-of-glass UI
在一個(gè)地方以秒為單位查看結(jié)果�。有了AssetView,安全和合規(guī)專業(yè)人員和經(jīng)理可以從一個(gè)儀表板界面獲得其所有IT資產(chǎn)的完整且不斷更新的視圖����。它完全可定制,讓您看到大局�����,深入了解細(xì)節(jié)����,并為隊(duì)友和審計(jì)員生成報(bào)告。它直觀�、易于構(gòu)建的動(dòng)態(tài)儀表盤將您的所有IT安全和合規(guī)性數(shù)據(jù)從所有Qualys云應(yīng)用程序聚合并關(guān)聯(lián)到一個(gè)地方。憑借其強(qiáng)大的彈性搜索集群��,您現(xiàn)在可以使用2秒鐘的可視性搜索任何資產(chǎn)(內(nèi)部部署、端點(diǎn)和所有云)��。
集中和定制
集中發(fā)現(xiàn)多種評(píng)估類型的主機(jī)資產(chǎn)��。組織主機(jī)資產(chǎn)組以匹配您的業(yè)務(wù)結(jié)構(gòu)���。通過(guò)端到端加密和強(qiáng)大的訪問(wèn)控制���,保持安全數(shù)據(jù)的私密性���。您可以通過(guò)企業(yè)單一登錄(SSO)集中管理用戶對(duì)Qualys帳戶的訪問(wèn)�����。Qualys支持基于SAML 2.0的身份服務(wù)提供者�。
部署容易
從公共或私有云部署—完全由Qualys管理�。有了Qualys,就沒(méi)有服務(wù)器可供配置��,沒(méi)有軟件可供安裝����,也沒(méi)有數(shù)據(jù)庫(kù)可供維護(hù)。您始終可以通過(guò)瀏覽器使用最新的Qualys功能,而無(wú)需設(shè)置特殊的客戶端軟件或VPN連接���。
大規(guī)模的和可擴(kuò)展的
按需求在全球范圍內(nèi)擴(kuò)大規(guī)模���。通過(guò)可擴(kuò)展的基于XML的API與其他系統(tǒng)集成。您可以將Qualys用于廣泛的安全和合規(guī)系統(tǒng)����,如GRC、票務(wù)系統(tǒng)��、SIEM���、ERM和IDS��。
