Содержание
Attack Monitor
Attack Monitor – это приложение на Python, разработанное для расширения возможностей мониторинга безопасности рабочих станций / серверов Windows 7/2008 (и всех более поздних версий) и для автоматизации динамического анализа вредоносных программ.
Текущие режимы (взаимоисключающие):
- Обнаружение конечной точки (ED)
- Анализ вредоносных программ (на выделенной виртуальной машине)
На основании событий из:
- Журналы событий Windows
- Sysmon
- Watchdog (библиотека Python для мониторинга файловой системы)
- TShark (только режим анализа вредоносных программ)
Как это работает?
- Оповещение исходит из источника (журнал событий Windows, Sysmon, изменение файловой системы, TShark)
- Оповещение проверяется на соответствие config \ exceptions \ exception.json, в котором содержатся все оповещения, которые следует игнорировать. A) Для обнаружения конечной точки – предопределенный набор игнорируемых оповещений поставляется с программным обеспечением. Б) Для анализа вредоносных программ – вам нужно самостоятельно добавить исключения в действующую систему. в чистом виде
- Оповещение присутствует в exception.json? Да) Отклонено [Перейти к шагу 1] Нет) Перейти к следующему шагу
-
Режим обучения включен? (Может быть включен в значке на панели задач или постоянно в файле конфигурации). Да) Всплывающее окно с предупреждением, спрашивающее, хотите ли вы игнорировать это предупреждение, и если да, какие поля должны совпадать, чтобы считать событие проигнорированным? (простое сравнение, подстрока, регулярное выражение)Если вы решили добавить исключение для этого оповещения – оповещение добавляется в исключения [Перейти к шагу 1]
Если вы решили пропустить окно исключения – перейдите к следующему шагу. Нет) перейти к следующему шагу
-
Оповещение пользователя о событии захвата. Выводы:Уведомление о всплывающем окне в системном трее (только при перемещении мыши, когда компьютер не заблокирован)Предупреждение сохраняется в журналах \ .txt