🐛 Attack Monitor: программное обеспечение для обнаружения конечных точек и анализа вредоносных программ — Information Security Squad
🐛 Attack Monitor: программное обеспечение для обнаружения конечных точек и анализа вредоносных программ

Attack Monitor

Attack Monitor — это приложение на Python, разработанное для расширения возможностей мониторинга безопасности рабочих станций / серверов Windows 7/2008 (и всех более поздних версий) и для автоматизации динамического анализа вредоносных программ.

Текущие режимы (взаимоисключающие):

  • Обнаружение конечной точки (ED)
  • Анализ вредоносных программ (на выделенной виртуальной машине)
На основании событий из:
  • Журналы событий Windows
  • Sysmon
  • Watchdog (библиотека Python для мониторинга файловой системы)
  • TShark (только режим анализа вредоносных программ)

Как это работает?

  1. Оповещение исходит из источника (журнал событий Windows, Sysmon, изменение файловой системы, TShark)
  2. Оповещение проверяется на соответствие config \ exceptions \ exception.json, в котором содержатся все оповещения, которые следует игнорировать. A) Для обнаружения конечной точки — предопределенный набор игнорируемых оповещений поставляется с программным обеспечением. Б) Для анализа вредоносных программ — вам нужно самостоятельно добавить исключения в действующую систему. в чистом виде
  3. Оповещение присутствует в exception.json? Да) Отклонено [Перейти к шагу 1] Нет) Перейти к следующему шагу
  4. Режим обучения включен? (Может быть включен в значке на панели задач или постоянно в файле конфигурации). Да) Всплывающее окно с предупреждением, спрашивающее, хотите ли вы игнорировать это предупреждение, и если да, какие поля должны совпадать, чтобы считать событие проигнорированным? (простое сравнение, подстрока, регулярное выражение)Если вы решили добавить исключение для этого оповещения — оповещение добавляется в исключения [Перейти к шагу 1]
    Если вы решили пропустить окно исключения — перейдите к следующему шагу.
    Нет) перейти к следующему шагу

  5. Оповещение пользователя о событии захвата. Выводы:
    Уведомление о всплывающем окне в системном трее (только при перемещении мыши, когда компьютер не заблокирован)
    Предупреждение сохраняется в журналах \ .txt

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

5e7fa976b0640d40