可使用 Vulnerability Protection趋势科技服务器深度安全防护系统创建用于标识事件并对事件进行排序的标记。例如,可使用标记从需要进一步调查的事件中区分出良好事件。可使用标记来创建定制控制台和报告。
虽然事件标记可用于各种目的,但是它旨在减轻事件管理的负担。分析某个事件并确定为良好之后,可通过计算机(以及任何其他以类似方式配置及分配任务的计算机)的事件日志查找类似的事件,并对其应用相同的标记,因此无需单独分析每个事件。
以下为可以执行标记的方式:
手动标记事件:
查看“事件”列表,就可以看到该事件现已被标记。
可通过 Vulnerability Protection 趋势科技服务器深度安全防护系统管理中心,定义将同一标记自动应用于类似事件的规则。要查看现有的已保存自动标记规则,请在任何事件页面上,单击菜单栏中的自动标记...。您可以在此页面中手动运行已保存的规则。
创建自动标记规则:
查看“事件”列表,就可以看到原始事件和所有类似事件都已被标记。
创建自动标记规则后,可为其分配优先顺序值。如果自动标记规则配置为在将来事件上运行,则规则的优先顺序确定所有自动标记规则应用于传入事件的顺序。例如,您可以具有优先顺序值为 "1" 的规则,将所有“用户已登录”事件标记为“可疑”,优先顺序值为 "2" 的规则从目标(用户)为您的所有“用户已登录”事件中删除“可疑”标记。优先顺序 "1" 规则将首先运行,并将“可疑”标记应用于所有“用户已登录”事件。优先顺序 "2" 规则随后运行,并将“可疑”标记从用户为您的所有“用户已登录”事件中删除。这将导致“可疑”标记应用于用户不是您的所有将来“用户已登录”事件。
设置自动标记规则的优先顺序:
完整性监控模块允许您监控计算机上系统组件和关联属性是否发生更改。(“更改”包括创建、删除以及编辑。)在这些组件中,您可以监控更改的目标包括文件、目录、组、已安装软件、侦听端口、进程、注册表项等。
可信源事件标记旨在减少需要通过自动标记与授权更改关联的事件来进行分析的事件数量。
除了自动标记类似事件以外,使用完整性监控模块还可以基于事件的相似性以及在可信源上找到的数据来标记事件。可信源可以是:
可信计算机是将用作“模型”的计算机,此计算机是您知道将只生成良好或无害事件的计算机。“目标”计算机是您监控未授权或异常更改的计算机。自动标记规则检查目标计算机上的事件,并将他们与可信计算机的事件进行比较。如果有任何事件匹配,则使用在自动标记规则中定义的标记来标记它们。
您可以建立自动标记规则,该规则比较受保护计算机上的事件和可信计算机上的事件。例如,Patch 的推出计划可应用于可信计算机。与 Patch 的应用程序关联的事件可标记为 "Patch X"。其他系统上提出的类似事件可进行自动标记并确认为可接受的更改,并进行过滤,以减少需要评估的事件数量。
完整性监控事件包含有关从一个状态转换为另一个状态的信息。也就是说,事件包含之前和之后信息。比较事件时,自动标记引擎将寻找匹配的之前和之后状态;如果两个事件共享相同的之前和之后状态,则事件将被判断为匹配,标记将应用于第二个事件。这也适用于创建和删除事件。
基于本地可信计算机标记事件:
安全软件认证服务是由趋势科技维护的良好文件签名的白名单。此可信源标记类型将监控目标计算机上的文件相关完整性监控事件。记录事件以后,文件的签名(更改后)将与趋势科技的良好文件签名列表进行比较。如果找到匹配,则将标记该事件。
基于趋势科技安全软件认证服务标记事件:
可信通用基线方法将比较一组计算机内的事件。系统将根据被组中计算机上生效的完整性监控规则监控的文件和系统状态,标识一组计算机并生成通用基线。该组内的计算机上发生完整性监控事件时,系统会将更改后文件的签名与通用基线进行比较。如果文件的新签名在基线中的其他位置处具有匹配,系统会将一个标记应用于该事件。在可信计算机方法中,系统将比较完整性监控事件的之前和之后状态,而在可信通用基线方法中,系统仅比较之后状态。
基于可信通用基线标记事件: