Vipnet ids hs agent linux

Содержание

ViPNet IDS HS
Решение типовых проблем (редакция от 16.08.2019 13:00)
ViPNet IDS HS
Use Cases
Advantages
1 ViPNet IDS HS
Назначение:
Архитектура продукта:
1 ViPNet IDS HS
Назначение:
Архитектура продукта:
1 ViPNet IDS HS
Назначение:
Архитектура продукта:

ViPNet IDS HS

Решение типовых проблем (редакция от 16.08.2019 13:00)

Если в журнале Windows (eventvwr.msc) Приложение во время сбойного запуска powershell фиксируется событие Windows Error Reporting 1001 с текстом, содержащим следующие строки:

P5: SHostUserInterface.GetTranscriptOptionFromSettings
P6: System.IO.Directory.CreateDirectory
P7: Consol.. main thread

Возможно виновата автоматически включаемая при установке агента ViPNet IDS HS опция транскрипции powershell. Фиксировалось, что она включается, даже если соответствующая галочка отключена в настройках консоли IDS HS (Колесико — Политики аудита — Прочие).

Для отключения транскрипции, необходимо на проблемном компьютере запустить от имени администратора regedit.exe и параметру HKLM\Software\Policies\Microsoft\Windows\PowerShell\Transcription\EnableTranscripting проставить значение 0 (если его нет — создать типа DWORD).

Без перезагрузки powershell должен начать запускаться.

При удалении ViPNet IDS HS ошибка сохранятся, т.к. исходное (до установки) значение опции не восстанавливается.

Если в журнале Windows (eventvwr.msc) Приложение фиксируются ошибки snort 0xc0000005, а также при попытке ручного запуска snort в командной строке (запущенной от администратора) :

возникает ошибка: ERROR: Failed to lookup interface:

Ь│■ $■K. Please specify one with -i switch

Необходимо установить актуальную версию WinPCAP (можно просто поверх имеющейся) и перезагрузить компьютер.

Фиксировалась невозможность/ошибочность одновременной работы ViPNet IDS HS и СОВ из состава Secret Net Studio, компонента обнаружения вторжений Kaspersky Endpoint Security.

Необходимо оставить одно ПО обнаружения вторжений.

Фиксировалось что при установке Kaspersky Endpoint Security (серверный, с отключенным МЭ) на сервер с ViPNet IDS HS, пропадал доступ к консоли IDS.

Источник

ViPNet IDS HS

ViPNet IDS HS is an intrusion detection system that monitors and processes events on a host. ViPNet IDS HS utilizes both signature and heuristic analysis of attacks based on rules and signatures provided by Infotecs. Due to centralized management of agents, settings, and rule groups on hosts, information security administrators respond promptly to security events in the network.

ViPNet IDS HS features:

Monitoring all important events on a host, including network activity, changes in files, registry, processes, or logs.
Notifying the administrator about detected attacks via the management application or by email.

ViPNet IDS HS helps you stay aware of what is happening on a host.

ViPNet IDS HS enhances your security system by:

Heuristic analysis that detects attacks with no anti-virus signatures available.
Effective location, as the software installed on a host detects network attacks that cannot be detected by network-level IDSs (for example, attacks in encrypted traffic).

ViPNet IDS HS components:

The Agent (the software installed on hosts), which collects data about host operation and pre-analyzes it.
The Server, which receives, stores, and analyzes data received from Agents.
The Management Console, which provides a graphical interface for managing Agents and monitoring their states.

Supported operating systems

MS Windows 10 (32/64), 8.1 (32/64), 8 (32/64), 7 SP1 (32/64).
MS Windows Server 2012 R2, 2012, 2008 R2, 2008 (32/64).

Use Cases

You can use ViPNet IDS HS with other ViPNet products or as a standalone product. The function of ViPNet IDS HS is as follows:

Detecting intrusions into an information system for their prompt prevention.
Increasing the security level of information systems, data centers, workstations, servers and telecommunication equipment.
Helping in investigating causes of security incidents by event aggregation and logging.

Advantages

Detects network attacks that cannot be detected by network-level IDSs (attacks in encrypted traffic).
Supports centralized management.

Many sources for event monitoring. ViPNet IDS HS monitors all important events on the host and:

Analyzes operating system logs (Windows Event Log);
Analyzes application logs;
Monitors command execution results;
Monitors changes in operating system files, directories, and
registry;
Analyzes the traffic passing through the host.

Attack detection methods:

Signature analysis;
Heuristic analysis.

Event analysis both on host and server. To reduce network and server load, the data is pre-analyzed on the host itself. The analysis does not slow the host operation and does not require any action from the user.

Centralized management:

ViPNet IDS HS sensor management
Distribution of rules to host groups
Obtaining comprehensive information about host state and events.

Notifying the information security administrator about security events. The information security administrator is notified by email about critical attacks. All events and attacks are displayed in the management application.

Scalable system. The client-server architecture allows the system to be scaled up as the protected information system expands.

Data transfer to ViPNet TIAS & CEF support.

Multitenancy mode for providing security threat monitoring services to organizations.

Getting MD5, SHA256 or SpamSum checksums of the new files in the controlled folders. This feature is some kind of malware detection. When new file created/copied/downloaded in controlled folder, HS-agent gets MD5 checksum and sends it to the HS-server. Then administrator can enter file-hash to virustotal (for example), just to be sure that file is OK.

Monitoring Windows updates — ViPNet IDS HS allows you to monitor Windows system updates are installed on the monitored hosts.

Detecting RemSec spyware — ViPNet IDS HS detects the RemSec spyware on the monitored host.

Источник

1 ViPNet IDS HS

ViPNet IDS HS — система обнаружения вторжений, осуществляющая мониторинг и обработку событий внутри хоста. ViPNet IDS HS использует сигнатурный и эвристический методы анализа атак на основе правил и сигнатур, разработанных в России. За счет централизованного управления агентами, настройками и группами правил на хостах администраторы по информационной безопасности могут оперативно реагировать на события безопасности в сети.

Назначение:

Ключевыми словами, которыми можно описать назначение данного продукта, являются:

Наблюдение за всеми активностями, происходящими в операционной системе, такими как файловая или сетевая активность, изменения в реестре, процессах или ключевых логах.
Оповещение: по результатам наблюдения система выявляет атаки и незамедлительно оповещает об этом администратора. Администратор получает оповещения в интерфейсе управляющего приложения или по email, а также может настроить передачу событий в ViPNet TIAS или в имеющийся SIEM.

Главное — всегда быть в курсе, что происходит на хосте .

ViPNet IDS HS отлично дополнит Вашу систему безопасности за счёт:

эвристического анализа — способного обнаружить атаки, для которых еще нет антивирусных сигнатур;
удобного расположения — так как приложение на хосте способно обнаруживать сетевые атаки, которые не видны сетевым IDS (например, атаки в зашифрованном трафике).

Архитектура продукта:

Агент — собирает информацию о функционировании хостов и выполняет ее первичный анализ. Агент представляет собой ПО, которое устанавливается на хостах.
Сервер — получает, хранит и анализирует информацию от Агентов.
Консоль управления — предоставляет графический интерфейс для управления Агентами и мониторинга их состояния.

Поддерживаемые ОС

MS Windows 10 (32/64), 8.1 (32/64), 8 (32/64),
MS Windows Server 2012 R2, 2012,
Astra Linux Special Edition 1.5 релиз «Смоленск»*
Astra Linux Special Edition 1.6 релиз «Смоленск»*
Debian 8.5*
AltLinux 7.0 СПТ *
CentOS 7.5*
Ред ОС 7.2*

*Поддержка данных операционных систем только для агентов ViPNet IDS HS

Базы правил разрабатываются российской компанией ЗАО «Перспективный мониторинг»

Источник

1 ViPNet IDS HS

Назначение:

Ключевыми словами, которыми можно описать назначение данного продукта, являются:

Наблюдение за всеми активностями, происходящими в операционной системе, такими как файловая или сетевая активность, изменения в реестре, процессах или ключевых логах.
Оповещение: по результатам наблюдения система выявляет атаки и незамедлительно оповещает об этом администратора. Администратор получает оповещения в интерфейсе управляющего приложения или по email, а также может настроить передачу событий в ViPNet TIAS или в имеющийся SIEM.

Главное — всегда быть в курсе, что происходит на хосте .

ViPNet IDS HS отлично дополнит Вашу систему безопасности за счёт:

эвристического анализа — способного обнаружить атаки, для которых еще нет антивирусных сигнатур;
удобного расположения — так как приложение на хосте способно обнаруживать сетевые атаки, которые не видны сетевым IDS (например, атаки в зашифрованном трафике).

Архитектура продукта:

Агент — собирает информацию о функционировании хостов и выполняет ее первичный анализ. Агент представляет собой ПО, которое устанавливается на хостах.
Сервер — получает, хранит и анализирует информацию от Агентов.
Консоль управления — предоставляет графический интерфейс для управления Агентами и мониторинга их состояния.

Поддерживаемые ОС

MS Windows 10 (32/64), 8.1 (32/64), 8 (32/64),
MS Windows Server 2012 R2, 2012,
Astra Linux Special Edition 1.5 релиз «Смоленск»*
Astra Linux Special Edition 1.6 релиз «Смоленск»*
Debian 8.5*
AltLinux 7.0 СПТ *
CentOS 7.5*
Ред ОС 7.2*

*Поддержка данных операционных систем только для агентов ViPNet IDS HS

Базы правил разрабатываются российской компанией ЗАО «Перспективный мониторинг»

Источник

1 ViPNet IDS HS

Назначение:

Ключевыми словами, которыми можно описать назначение данного продукта, являются:

Наблюдение за всеми активностями, происходящими в операционной системе, такими как файловая или сетевая активность, изменения в реестре, процессах или ключевых логах.
Оповещение: по результатам наблюдения система выявляет атаки и незамедлительно оповещает об этом администратора. Администратор получает оповещения в интерфейсе управляющего приложения или по email, а также может настроить передачу событий в ViPNet TIAS или в имеющийся SIEM.

Главное — всегда быть в курсе, что происходит на хосте .

ViPNet IDS HS отлично дополнит Вашу систему безопасности за счёт:

эвристического анализа — способного обнаружить атаки, для которых еще нет антивирусных сигнатур;
удобного расположения — так как приложение на хосте способно обнаруживать сетевые атаки, которые не видны сетевым IDS (например, атаки в зашифрованном трафике).

Архитектура продукта:

Агент — собирает информацию о функционировании хостов и выполняет ее первичный анализ. Агент представляет собой ПО, которое устанавливается на хостах.
Сервер — получает, хранит и анализирует информацию от Агентов.
Консоль управления — предоставляет графический интерфейс для управления Агентами и мониторинга их состояния.

Поддерживаемые ОС

MS Windows 10 (32/64), 8.1 (32/64), 8 (32/64),
MS Windows Server 2012 R2, 2012,
Astra Linux Special Edition 1.5 релиз «Смоленск»*
Astra Linux Special Edition 1.6 релиз «Смоленск»*
Debian 8.5*
AltLinux 7.0 СПТ *
CentOS 7.5*
Ред ОС 7.2*

*Поддержка данных операционных систем только для агентов ViPNet IDS HS

Базы правил разрабатываются российской компанией ЗАО «Перспективный мониторинг»

Источник

Проблема	Возможная причина	Решение
После установки ViPNet IDS HS перестает запускаться powershell (сразу после запуска завершается с окном о завершении работы программы)	Включенная опция транскрипции powershell
Не регистрируются события сетевых атак	Проблемы с WinPCAP
Не регистрируются события сетевых атак	Несовместимость с другими системами обнаружения вторжений
Не работает консоль ViPNet IDS HS (не подключается к серверу)	Проблемы с Kaspersky Endpoint Security 10