应用标记来标识和分组事件
使用趋势科技服务器深度安全防护系统,您可以创建标记以用于标识事件以及对事件进行分类。例如,可使用标记从需要进一步调查的事件中区分出良好事件。可使用标记来创建定制控制台和报告。
虽然事件标记可用于各种目的,但是它旨在减轻事件管理的负担。分析某个事件并确定其为良性之后,您可以通过计算机(以及任何其他以类似方式配置及分配任务的计算机)的事件日志查找类似的事件,并对其应用相同的标记,从而无需单独分析每个事件。
所有当前已定义的标记将显示在策略 > 通用对象 > 其他 > 标记页面中。这包括预定义标记和定制标记。(仅显示当前使用的标记。)
以下为可以执行标记的方式:
- 手动标记可基于特定情况完成。
- 自动标记可让您使用现有事件作为模型以在同一台或其他计算机上自动标记类似事件。要应用标记,您通过选择必须匹配模型事件属性的事件属性来定义“相似性”参数。
- 可信源标记可让您基于完整性监控事件与来自可信源的良性事件的相似性自动标记完整性监控事件。
手动标记事件
- 在事件列表中,右键单击事件(或者选择多个事件然后右键单击),然后选择添加标记。
- 键入标记的名称。(趋势科技服务器深度安全防护系统管理中心将建议键入的名称应与现有标记的名称匹配。)
- 选择选定 [事件类型] 事件。单击下一步。
- 输入一些可选注释并单击完成。
查看事件列表,就可以看到该事件现已被标记。
定义规则以自动标记事件
使用趋势科技服务器深度安全防护系统管理中心,您可以定义自动将相同标记应用到相似事件的规则。要查看现有的已保存自动标记规则,请在任何事件页面上单击菜单栏中的自动标记。您可以在此页面中手动运行已保存的规则。
- 在事件列表中,右键单击一个代表性事件,然后选择添加标记。
- 键入标记的名称。(趋势科技服务器深度安全防护系统管理中心将建议键入的名称应与现有标记的名称匹配。)
- 选择应用到选定和类似的 [事件类型] 事件,然后单击下一步。
- 选择要自动标记事件的计算机,然后单击下一步。
- 选择将要检查以确定事件是否类似的属性。对于大部分事件而言,属性选项与事件列表页面的列中显示的信息(源 IP、原因、严重性等)相同。已选择要包括在事件选择过程中的属性后,单击下一步。
- 在下一页中,指定标记事件的时间。如果选择现有 [事件类型] 事件,可以选择是立即应用自动标记规则,还是在后台以较低优先级运行它。选择未来 [事件类型] 事件,将自动标记规则应用于将来发生的事件上。您也可以保存自动标记规则。稍后,您可以通过单击事件页面的菜单栏中的自动标记来访问已保存的规则。单击下一步。
- 查看自动标记规则摘要,然后单击完成。
查看“事件”列表,就可以看到原始事件和所有类似事件都已被标记。
仅当从客户端/设备将事件检索到趋势科技服务器深度安全防护系统管理中心数据库后,才会进行事件标记。设置自动标记规则的优先顺序
创建自动标记规则后,可为其分配优先顺序值。如果自动标记规则配置为在将来事件上运行,则规则的优先顺序确定所有自动标记规则应用于传入事件的顺序。例如,优先顺序值为 "1" 的规则会将所有“用户已登录”事件标记为“可疑”,优先顺序值为 "2" 的规则会从目标(用户)是您的所有“用户已登录”事件中移除“可疑”标记。优先顺序 "1" 规则将首先运行,并将“可疑”标记应用于所有“用户已登录”事件。优先顺序为 "2" 的规则随后会运行,并从用户是您的所有“用户已登录”事件中移除“可疑”标记。这将导致“可疑”标记应用到用户不是您的所有将来的“用户已登录”事件。
- 在事件列表中,单击自动标记,以显示已保存的自动标记规则的列表。
- 右键单击某自动标记规则,然后选择查看。
- 为该规则选择优先顺序。
可信源标记
可信源事件标记只能与完整性监控防护模块生成的事件一起使用。使用完整性监控模块,您可以监控计算机上的系统组件和关联属性是否发生更改。(“更改”包括创建、删除以及编辑。)可监控其更改的组件包括文件、目录、组、已安装软件、侦听端口号、进程和注册表项等。
可信源事件标记旨在通过自动确定与授权更改关联的事件来减少需要分析的事件数量。
除了自动标记类似事件以外,使用完整性监控模块还可以基于事件的相似性以及在可信源上找到的数据来标记事件。可信源可以是:
- 本地可信计算机,
- 趋势科技安全软件认证服务或
- 可信通用基线(是指从一组计算机收集的一组文件状态)。
本地可信计算机
可信计算机是指用作“模型”的计算机,您已知此计算机只会生成良性事件或无害事件。“目标”计算机是您监控未授权或异常更改的计算机。自动标记规则检查目标计算机上的事件,并将他们与可信计算机的事件进行比较。如果有任何事件匹配,则使用在自动标记规则中定义的标记来标记它们。
您可以建立自动标记规则,这些规则将受保护计算机上的事件与可信计算机上的事件相比较。例如,可以将 Patch 的计划内发布应用到可信计算机。与 Patch 的应用程序关联的事件可标记为 "Patch X"。其他系统上提出的类似事件可进行自动标记并确认为可接受的更改,并进行过滤,以减少需要评估的事件数量。
趋势科技服务器深度安全防护系统如何确定目标计算机上的事件是否与可信源计算机上的事件匹配?
完整性监控事件包含有关从一个状态转换为另一个状态的信息。也就是说,事件包含之前和之后信息。比较事件时,自动标记引擎将寻找匹配的之前和之后状态;如果两个事件共享相同的之前和之后状态,则事件将被判断为匹配,标记将应用于第二个事件。这也适用于创建和删除事件。
基于本地可信计算机标记事件
- 通过运行完整的防恶意软件扫描,以确保可信计算机中没有恶意软件。
- 确保要在其上自动标记事件的计算机所运行的完整性监控规则与可信源计算机所运行的规则相同(或部分相同)。
- 在趋势科技服务器深度安全防护系统管理中心中,转至事件和报告 > 完整性监控事件,然后单击工具栏中的自动标记。
- 在自动标记规则 (完整性监控事件) 窗口中,单击新建可信源,以显示标记向导。
- 选择本地可信计算机,然后单击下一步。
- 从列表中选择将用作可信源的计算机,然后单击下一步。
- 指定一个或多个标记,以应用到目标计算机上与此可信源计算机上的事件匹配的事件。单击下一步。
可以输入新标记的文本,或从现有标记列表中进行选择。
- 标识将与可信源上的事件进行匹配的事件所在的目标计算机。单击下一步。
- (可选)为此规则提供一个名称,然后单击完成。
基于趋势科技安全软件认证服务标记事件
安全软件认证服务是由趋势科技维护的良好文件签名的白名单。此可信源标记类型将监控目标计算机上与文件相关的完整性监控事件。记录事件以后,文件的签名(更改后)将与趋势科技的良好文件签名列表进行比较。如果找到匹配,则将标记该事件。
- 在趋势科技服务器深度安全防护系统管理中心中,转至事件和报告 > 完整性监控事件,然后单击工具栏中的自动标记。
- 在自动标记规则 (完整性监控事件) 窗口中,单击新建可信源,以显示标记向导。
- 选择安全软件认证服务,然后单击下一步。
- 指定一个或多个标记,以应用于目标计算机上与安全软件认证服务匹配的事件。单击下一步。
- 标识将与安全软件认证服务匹配的事件所在的目标计算机。单击下一步。
- (可选)为此规则提供一个名称,然后单击完成。
基于可信通用基线标记事件
可信通用基线方法将比较一组计算机内的事件。系统将根据由组中计算机上生效的完整性监控规则监控的文件和系统状态,标识一组计算机并生成通用基线。当该组内的计算机上发生完整性监控事件时,系统会将更改后的文件签名与通用基线相比较。如果文件的新签名在基线中的其他位置处具有匹配,系统会将一个标记应用于该事件。使用可信计算机方法时,系统将比较完整性监控事件的之前和之后状态;而使用可信通用基线方法时,系统仅比较之后状态。
- 通过在构成可信通用基线的组中包含的所有计算机上运行完整的防恶意软件扫描,确保这些计算机中没有恶意软件。
- 在趋势科技服务器深度安全防护系统管理中心中,转至事件和报告 > 完整性监控事件,然后单击工具栏中的自动标记。
- 在自动标记规则 (完整性监控事件) 窗口中,单击新建可信源,以显示标记向导。
- 选择可信通用基线,然后单击下一步。
- 指定一个或多个标记,以应用到在可信通用基线中具有匹配项的事件,然后单击下一步。
- 标识要包含在用于生成可信通用基线的组中的计算机。单击下一步。
- (可选)为此规则提供一个名称,然后单击完成。
删除标记
单击删除标记可从标记附加到的所有事件中移除该标记。