Qualys IOC扩展了Qualys云平台的功能,以提供威胁搜索、检测可疑活动,并确认网络内外设备存在已知和未知恶意软件。
“威胁搜寻既依赖于先进的威胁知识,也依赖于对组织IT环境的深入了解,这也有利于组织本身更多地了解其IT环境,并找到攻击者可以藏身的地方。”
Gartner,《如何寻找安全威胁》,AntonChuvakin,2017年4月。
Anton Chuvakin研究副总裁兼Gartner杰出分析师
亮点
可靠的代理事件集合
QualysIOC使用云代理的非侵入式数据收集和增量处理技术透明地从网络内外的资产中捕获端点活动信息,这些资产比基于查询的方法或日志收集器更具性能。
安全分析师的可操作智能
客户可以使用预先定义的威胁搜索规则,轻松地将危害工件的指标导入小部件、仪表盘和保存的搜索中,以快速验证威胁情报、感染规模、首次感染资产(“患者零”)和危害时间表。
高度可扩展的检测处理
在Qualys云平台上对数十亿个活动和过去的系统事件执行威胁搜索、可疑活动检测和OpenIOC处理,并结合来自Qualys恶意软件实验室的威胁情报数据,以识别恶意软件感染(危害指标)和威胁参与者行为(活动指标)。
使用单一资产视图简化调查
Qualys IOC创建资产的单一视图,显示与Qualys其他云应用程序统一的威胁搜索详细信息,用于硬件和软件库存、漏洞态势、策略遵从性控制以及本地服务器、云实例和离线远程端点的文件完整性监控更改警报。单个用户界面显著减少了事件响应者和安全分析人员在发生破坏或妥协之前搜寻、调查、检测和响应威胁所需的时间。
轻量级和可扩展的系统活动详细信息捕获和搜索
从QualysIOC的单一控制台,您可以监控所有本地服务器、用户端点和云实例的当前和历史系统活动,即使是当前脱机或已由其重新映像的资产。
Qualys IOC利用云代理捕获文件、进程、变异句柄(mutex)、注册表和网络连接上的端点活动,并将数据上传到Qualys云平台进行存储、处理和查询。具体事件详情包括:
文件名、路径、MD5/SHA256hash、大小、创建/删除日期、版本等
进程名称、进程参数、进程ID、映像路径、映像MD5/SHA256hash、提升状态、运行/终止状态、用户名、加载模块、父进程名称、父进程ID等
互斥句柄名称、进程名称、进程ID、进程参数、进程映像名称、进程映像路径、进程映像MD5/SHA256哈希等
注册表项、值、数据、检测日期、图像详细信息
运行进程的网络连接、本地IP/端口、远程IP/端口、远程解析的完全限定域名、协议、状态、进程名、进程ID、进程参数、映像路径、映像MD5/SHA256 hash等。
云代理增量处理仅将资产中的更改事件发送到Qualys平台进行存储、处理和搜索。CPU资源和网络利用率的性能调整允许IOC在资源受限的系统上运行,如固定功能设备、用户端点、云实例和虚拟机。
快速搜索、调查、搜寻和响应安全事件
安全分析人员使用Web界面进行离线搜索、搜索和调查,并使用可视界面轻松查找异常值、创建仪表盘以及通过透视搜索数十亿个事件来执行即席查询。
Qualys IOC为关键的Advanced Persistent Threats (APT)、CERT安全建议和识别可指示非恶意软件攻击的可疑进程使用提供了多个预定义的威胁搜索小部件,包括:
为恶意目的使用已知良好的应用程序
恶意软件检测规避技术,如从回收站运行的进程或从反病毒程序隔离文件夹运行的进程
通过快速确定网络中是否存在文件哈希、进程、互斥和注册表项,轻松验证威胁智能报告。Qualys IOC时间序列数据搜索结果显示当前正在运行的指标或以前在网络中执行但不再存在的指标。
用户可以添加自己的折衷指标,包括文件哈希、进程名、互斥体、IP和域名,还可以为可疑行为定义全面的搜索逻辑。示例包括:
具有网络连接的Java进程
Cmd.exe父进程是Java
在C:\windows\system32目录外运行的? Svchost.exe
在没有图像的情况下运行进程
Qualys恶意软件家族检测
Qualys恶意软件实验室不断地在平台中使用OpenIOC格式创建新的行为模型,用于检测新的和以前的事件,以在不使用签名的情况下查找企业目标恶意软件系列变体。
大多数恶意软件创新的重点是创建现有恶意软件系列的新变体,以避免基于签名的系统检测,这是Qualys IOC应用程序中的检测能力标准。
当Malware Labs团队将新的行为模型发布到Qualys平台时,自动检测新的恶意软件系列变体。
通过检测传统方法遗漏的恶意软件系列变体来增强现有端点安全性。
识别第一阶段阻止执行的恶意软件下载程序,与在网络外主动通信的持续运行的恶意软件相比。
透视以显示恶意软件感染前发生的系统事件(进程执行、新文件、新注册表项),以识别新的漏洞攻击向量和新的感染技术。
将恶意软件感染与QualysThreat Protection漏洞相关联,利用智能确定针对您企业的目标攻击是否成功。
由Qualys Cloud Platform提供支持
Single-pane-of-glass UI
在一个地方以秒为单位查看结果。有了AssetView,安全和合规专业人员和经理可以从一个仪表板界面获得其所有IT资产的完整且不断更新的视图。它完全可定制,让您看到大局,深入了解细节,并为队友和审计员生成报告。它直观、易于构建的动态仪表盘将您的所有IT安全和合规性数据从所有Qualys云应用程序聚合并关联到一个地方。凭借其强大的弹性搜索集群,您现在可以使用2秒钟的可视性搜索任何资产(内部部署、端点和所有云)。
集中和定制
集中发现多种评估类型的主机资产。组织主机资产组以匹配您的业务结构。通过端到端加密和强大的访问控制,保持安全数据的私密性。您可以通过企业单一登录(SSO)集中管理用户对Qualys帐户的访问。Qualys支持基于SAML 2.0的身份服务提供者。
部署容易
从公共或私有云部署—完全由Qualys管理。有了Qualys,就没有服务器可供配置,没有软件可供安装,也没有数据库可供维护。您始终可以通过浏览器使用最新的Qualys功能,而无需设置特殊的客户端软件或VPN连接。
大规模的和可扩展的
按需求在全球范围内扩大规模。通过可扩展的基于XML的API与其他系统集成。您可以将Qualys用于广泛的安全和合规系统,如GRC、票务系统、SIEM、ERM和IDS。