关于事件标记的更多信息

Vulnerability Protection 趋势科技服务器深度安全防护系统中,标记是可应用于 Vulnerability Protection 趋势科技服务器深度安全防护系统事件的一组元数据,以便为最初未包含在事件本身中的事件创建其他属性。标记可用于排序、分组和以其他方式组织事件,以便简化事件监控和管理的任务。标记的典型用法是区分经过调查发现为良好的事件和需要执行操作的事件。

可基于特定情况手动标记事件,或者可使用下列两种可用的自动标记系统之一来自动标记事件:

标准标记和基于可信源的标记的重要区别是只能在标准事件标记模型中执行“立即在现有事件上运行”。

虽然事件标记可用于各种目的,但是它旨在减轻事件管理的负担。分析某个事件并评估为良好之后,可方便地通过计算机(以及任何其他以类似方式配置及分配任务的计算机)的事件日志查找类似的事件,并以相同方式标记它们,因此无需单独分析每个事件。

标准事件标记

事件标记可让您将一个或多个标记应用于事件。可以使用预定义的标记(“攻击”、“可疑”、"Patch"、“可接受的更改”、“误判”、“高优先级”等)来标记事件,或者可以定义和应用定制标记。

例如,您可以创建并将标记应用于入侵防御事件,指示您已将该事件评估为误报。

自动标记

标记单独事件后,使用自动标记可以指示 Vulnerability Protection 趋势科技服务器深度安全防护系统管理中心在当前或任何其他计算机上(定义属性和条件以确定相似性的位置)将同一个标记应用于所有类似的现有和/或将来事件。(使用自动标记时,创建自动标记规则。要查看现有的自动标记规则,请在任何事件页面上单击菜单栏中的自动标记...。以后可以再次手动运行任何自动标记规则。)

创建自动标记规则后,可为其分配优先顺序值。如果自动标记规则配置为在将来事件上运行,则规则的优先顺序确定所有自动标记规则应用于传入事件的顺序。例如,您可以具有优先顺序值为 "1" 的规则,将所有“用户已登录”事件标记为“可疑”,优先顺序值为 "2" 的规则从目标(用户)为您的所有“用户已登录”事件中删除“可疑”标记。优先顺序 "1" 规则将首先运行,并将“可疑”标记应用于所有“用户已登录”事件。优先顺序 "2" 规则随后运行,并将“可疑”标记从用户为您的所有“用户已登录”事件中删除。这将导致“可疑”标记应用于用户不是您的所有将来“用户已登录”事件。

通过转到事件页面,单击工具栏中的自动标记... 以显示与事件关联的现有自动标记规则,并编辑自动标记规则的属性窗口,您可以设置自动标记规则的“优先顺序”值。

正如任何其他事件属性一样,标记可以用作排序条件。可使用它们来创建定制控制台和报告。通过隐藏已分析的事件或标识需进一步分析的事件,可以使用标记控制分析工作流。

标记自己不会更改事件中的数据,也不允许用户删除事件。它们只是管理中心提供的附加属性。

目前为止提到的所有标记和自动标记适用于所有 Vulnerability Protection 趋势科技服务器深度安全防护系统事件:防恶意软件、防火墙、入侵防御完整性监控、日志审查和系统事件。下列部分介绍完整性监控模块如何让您基于可信源来标记事件。

基于可信源的事件标记

完整性监控模块允许您监控计算机上系统组件和关联属性是否发生更改。(“更改”包括创建、删除以及编辑。)在这些组件中,您可以监控更改的目标包括文件、目录、组、已安装软件、侦听端口、进程、注册表项等。

可信源事件标记旨在减少需要通过自动标记与授权更改关联的事件来进行分析的事件数量。

除了自动标记类似事件以外,使用完整性监控模块还可以基于事件的相似性以及在可信源上找到的数据来标记事件。可信源可以是:

  1. 可信计算机
  2. 趋势科技安全软件认证服务
  3. 可信通用基线(是指从一组计算机中收集的一组文件状态)。

可信计算机

可信计算机是将用作“模型”的计算机。

可信计算机是运行一组完整性监控规则的计算机,这组规则与在任何其他计算机上的相同方式生成完整性监控事件。在基于可信源的事件标记中,自动标记规则检查目标计算机上(您正在保护的计算机)的事件,并将它们与来自可信计算机的事件进行比较。如果有任何事件匹配,则使用在自动标记规则中定义的标记来标记它们。

可信计算机是运行一组完整性监控规则的计算机。完整性监控模块通过创建良好事件的基线运作。

可信计算机是您知道将只生成良好或无害事件的计算机。“目标”计算机是您监控未授权或异常更改的计算机。

您可以建立自动标记规则,该规则比较受保护计算机上的事件和可信计算机上的事件。例如,Patch 的推出计划可应用于可信计算机。与 Patch 的应用程序关联的事件可标记为 "Patch X"。其他系统上提出的类似事件可进行自动标记并确认为可接受的更改,并进行过滤,以减少需要评估的事件数量。

Vulnerability Protection 趋势科技服务器深度安全防护系统如何判断目标计算机上的事件是否匹配可信源计算机上的事件?

完整性监控事件包含有关从一个状态转换为另一个状态的信息。也就是说,事件包含之前之后信息。比较事件时,自动标记引擎将寻找匹配的之前和之后状态;如果两个事件共享相同的之前和之后状态,则事件将被判断为匹配,标记将应用于第二个事件。

安排源和目标计算机的扫描时,牢记这一点十分重要。

(这也适用于创建和删除事件。)

请记住,将可信计算机用于基于可信源的事件标记时,标记的事件是由 Vulnerability Protection 趋势科技服务器深度安全防护系统完整性监控规则生成的。这意味着在目标计算机上生成事件的完整性监控规则还必须在可信源计算机上运行。
必须首先扫描可信源计算机。
对系统上(例如,Linux 上的预链接)的文件内容定期执行修改的工具会干扰基于可信计算机的自动标记。

趋势科技安全软件认证服务

安全软件认证服务是由趋势科技维护的良好文件签名的白名单。此可信源标记类型将监控目标计算机上的文件相关完整性监控事件。记录事件以后,文件的签名(更改后)将与趋势科技的良好文件签名列表进行比较。如果找到匹配,则将标记该事件。

可信通用基线

可信通用基线方法将比较一组计算机内的事件。通用基线基于一组计算机内的所有计算机生成。该组内的计算机上发生完整性监控事件时,系统会将更改后文件的签名与通用基线进行比较。如果文件的新签名在基线中的其他位置处具有匹配,系统会将一个标记应用于该事件。

在可信计算机方法中,系统将比较完整性监控事件的之前之后状态,而在可信通用基线方法中,系统仅比较之后状态。