Qualys IOC擴展了Qualys云平臺的功能���,以提供威脅搜索、檢測可疑活動���,并確認網(wǎng)絡(luò)內(nèi)外設(shè)備存在已知和未知惡意軟件���。
Qualys IOC擴展了Qualys云平臺的功能,以提供威脅搜索�����、檢測可疑活動,并確認網(wǎng)絡(luò)內(nèi)外設(shè)備存在已知和未知惡意軟件����。
“威脅搜尋既依賴于先進的威脅知識,也依賴于對組織IT環(huán)境的深入了解�����,這也有利于組織本身更多地了解其IT環(huán)境�,并找到攻擊者可以藏身的地方。”
Gartner��,《如何尋找安全威脅》��,AntonChuvakin����,2017年4月。
Anton Chuvakin研究副總裁兼Gartner杰出分析師
亮點
可靠的代理事件集合
QualysIOC使用云代理的非侵入式數(shù)據(jù)收集和增量處理技術(shù)透明地從網(wǎng)絡(luò)內(nèi)外的資產(chǎn)中捕獲端點活動信息�,這些資產(chǎn)比基于查詢的方法或日志收集器更具性能。
安全分析師的可操作智能
客戶可以使用預先定義的威脅搜索規(guī)則���,輕松地將危害工件的指標導入小部件���、儀表盤和保存的搜索中�,以快速驗證威脅情報��、感染規(guī)模���、首次感染資產(chǎn)(“患者零”)和危害時間表�����。
高度可擴展的檢測處理
在Qualys云平臺上對數(shù)十億個活動和過去的系統(tǒng)事件執(zhí)行威脅搜索���、可疑活動檢測和OpenIOC處理,并結(jié)合來自Qualys惡意軟件實驗室的威脅情報數(shù)據(jù)����,以識別惡意軟件感染(危害指標)和威脅參與者行為(活動指標)�。
使用單一資產(chǎn)視圖簡化調(diào)查
Qualys IOC創(chuàng)建資產(chǎn)的單一視圖,顯示與Qualys其他云應(yīng)用程序統(tǒng)一的威脅搜索詳細信息�����,用于硬件和軟件庫存�����、漏洞態(tài)勢、策略遵從性控制以及本地服務(wù)器�、云實例和離線遠程端點的文件完整性監(jiān)控更改警報。單個用戶界面顯著減少了事件響應(yīng)者和安全分析人員在發(fā)生破壞或妥協(xié)之前搜尋�、調(diào)查、檢測和響應(yīng)威脅所需的時間�。
輕量級和可擴展的系統(tǒng)活動詳細信息捕獲和搜索
從QualysIOC的單一控制臺,您可以監(jiān)控所有本地服務(wù)器����、用戶端點和云實例的當前和歷史系統(tǒng)活動,即使是當前脫機或已由其重新映像的資產(chǎn)�����。
-
Qualys IOC利用云代理捕獲文件�����、進程�����、變異句柄(mutex)�����、注冊表和網(wǎng)絡(luò)連接上的端點活動,并將數(shù)據(jù)上傳到Qualys云平臺進行存儲�、處理和查詢。具體事件詳情包括:
-
文件名�����、路徑�����、MD5/SHA256hash��、大小�、創(chuàng)建/刪除日期、版本等
-
進程名稱���、進程參數(shù)�、進程ID��、映像路徑����、映像MD5/SHA256hash��、提升狀態(tài)、運行/終止狀態(tài)�、用戶名、加載模塊��、父進程名稱����、父進程ID等
-
互斥句柄名稱、進程名稱����、進程ID、進程參數(shù)�����、進程映像名稱�����、進程映像路徑�����、進程映像MD5/SHA256哈希等
-
注冊表項、值�、數(shù)據(jù)、檢測日期�����、圖像詳細信息
-
運行進程的網(wǎng)絡(luò)連接�、本地IP/端口、遠程IP/端口��、遠程解析的完全限定域名���、協(xié)議�����、狀態(tài)����、進程名���、進程ID�����、進程參數(shù)��、映像路徑�����、映像MD5/SHA256 hash等����。
-
云代理增量處理僅將資產(chǎn)中的更改事件發(fā)送到Qualys平臺進行存儲���、處理和搜索�����。CPU資源和網(wǎng)絡(luò)利用率的性能調(diào)整允許IOC在資源受限的系統(tǒng)上運行���,如固定功能設(shè)備、用戶端點����、云實例和虛擬機。
快速搜索��、調(diào)查、搜尋和響應(yīng)安全事件
安全分析人員使用Web界面進行離線搜索�����、搜索和調(diào)查����,并使用可視界面輕松查找異常值、創(chuàng)建儀表盤以及通過透視搜索數(shù)十億個事件來執(zhí)行即席查詢�����。
-
Qualys IOC為關(guān)鍵的Advanced Persistent Threats (APT)�、CERT安全建議和識別可指示非惡意軟件攻擊的可疑進程使用提供了多個預定義的威脅搜索小部件,包括:
-
為惡意目的使用已知良好的應(yīng)用程序
-
惡意軟件檢測規(guī)避技術(shù)��,如從回收站運行的進程或從反病毒程序隔離文件夾運行的進程
-
通過快速確定網(wǎng)絡(luò)中是否存在文件哈希����、進程、互斥和注冊表項����,輕松驗證威脅智能報告。Qualys IOC時間序列數(shù)據(jù)搜索結(jié)果顯示當前正在運行的指標或以前在網(wǎng)絡(luò)中執(zhí)行但不再存在的指標�����。
-
用戶可以添加自己的折衷指標,包括文件哈希�、進程名���、互斥體���、IP和域名,還可以為可疑行為定義全面的搜索邏輯�。示例包括:
-
具有網(wǎng)絡(luò)連接的Java進程
-
Cmd.exe父進程是Java
-
在C:\windows\system32目錄外運行的? Svchost.exe
-
在沒有圖像的情況下運行進程
Qualys惡意軟件家族檢測
Qualys惡意軟件實驗室不斷地在平臺中使用OpenIOC格式創(chuàng)建新的行為模型,用于檢測新的和以前的事件�����,以在不使用簽名的情況下查找企業(yè)目標惡意軟件系列變體���。
大多數(shù)惡意軟件創(chuàng)新的重點是創(chuàng)建現(xiàn)有惡意軟件系列的新變體��,以避免基于簽名的系統(tǒng)檢測��,這是Qualys IOC應(yīng)用程序中的檢測能力標準����。
-
當Malware Labs團隊將新的行為模型發(fā)布到Qualys平臺時,自動檢測新的惡意軟件系列變體���。
-
通過檢測傳統(tǒng)方法遺漏的惡意軟件系列變體來增強現(xiàn)有端點安全性�。
-
識別第一階段阻止執(zhí)行的惡意軟件下載程序��,與在網(wǎng)絡(luò)外主動通信的持續(xù)運行的惡意軟件相比����。
-
透視以顯示惡意軟件感染前發(fā)生的系統(tǒng)事件(進程執(zhí)行、新文件�、新注冊表項),以識別新的漏洞攻擊向量和新的感染技術(shù)����。
-
將惡意軟件感染與QualysThreat Protection漏洞相關(guān)聯(lián),利用智能確定針對您企業(yè)的目標攻擊是否成功��。
由Qualys Cloud Platform提供支持
Single-pane-of-glass UI
在一個地方以秒為單位查看結(jié)果��。有了AssetView�,安全和合規(guī)專業(yè)人員和經(jīng)理可以從一個儀表板界面獲得其所有IT資產(chǎn)的完整且不斷更新的視圖。它完全可定制�,讓您看到大局,深入了解細節(jié)�,并為隊友和審計員生成報告�。它直觀��、易于構(gòu)建的動態(tài)儀表盤將您的所有IT安全和合規(guī)性數(shù)據(jù)從所有Qualys云應(yīng)用程序聚合并關(guān)聯(lián)到一個地方��。憑借其強大的彈性搜索集群�,您現(xiàn)在可以使用2秒鐘的可視性搜索任何資產(chǎn)(內(nèi)部部署、端點和所有云)����。
集中和定制
集中發(fā)現(xiàn)多種評估類型的主機資產(chǎn)�����。組織主機資產(chǎn)組以匹配您的業(yè)務(wù)結(jié)構(gòu)��。通過端到端加密和強大的訪問控制����,保持安全數(shù)據(jù)的私密性。您可以通過企業(yè)單一登錄(SSO)集中管理用戶對Qualys帳戶的訪問����。Qualys支持基于SAML 2.0的身份服務(wù)提供者。
部署容易
從公共或私有云部署—完全由Qualys管理�����。有了Qualys,就沒有服務(wù)器可供配置�����,沒有軟件可供安裝���,也沒有數(shù)據(jù)庫可供維護����。您始終可以通過瀏覽器使用最新的Qualys功能���,而無需設(shè)置特殊的客戶端軟件或VPN連接��。
大規(guī)模的和可擴展的
按需求在全球范圍內(nèi)擴大規(guī)模�。通過可擴展的基于XML的API與其他系統(tǒng)集成�����。您可以將Qualys用于廣泛的安全和合規(guī)系統(tǒng)�����,如GRC、票務(wù)系統(tǒng)���、SIEM�、ERM和IDS����。
