ptdpi-worker@ad

Ищет ано­маль­ное по­ве­де­ние в ин­фор­ма­ци­он­ной ин­фра­струк­ту­ре ор­га­ни­за­ции

Дан­ные о се­те­вых со­еди­не­ни­ях

Ин­фор­ма­цию об об­на­ру­жен­ных ак­тив­но­стях — мо­ду­лю nad-web-server (для за­пи­си в базу дан­ных), об ата­ках — мо­ду­лю ptdpi-broker

ptdpi-worker@alert

Уда­ля­ет дуб­ли­ка­ты атак и за­пи­си об ата­ках, под­па­да­ю­щие под усло­вия ис­клю­че­ний из пра­вил

Спи­сок атак

Мо­ду­лю ptdpi-broker

ptdpi-worker@dns

Вы­пол­ня­ет сле­ду­ю­щие функ­ции:

• на ос­но­ва­нии DNS-тра­фи­ка, разо­бран­но­го сен­со­ром, со­став­ля­ет внут­рен­ний DNS-кэш;
• ис­поль­зуя внут­рен­ний DNS-кэш, опре­де­ля­ет по IP-ад­ре­сам от­пра­ви­те­ля и по­лу­ча­те­ля сес­сии их до­мен­ные име­на;
• опре­де­ля­ет гео­гра­фи­че­ское по­ло­же­ние уз­лов от­пра­ви­те­ля и по­лу­ча­те­ля сес­сии, ис­поль­зуя их IP-ад­ре­са и базу дан­ных гео­ло­ка­ции GeoIP;
• све­ря­ет с ре­пу­та­ци­он­ны­ми спис­ка­ми IP-ад­ре­са, до­мен­ные име­на, URL и фай­лы, ко­то­рые ис­поль­зо­ва­лись или пе­ре­да­ва­лись в сес­сии;
• об­на­ру­жи­ва­ет DGA-до­ме­ны сре­ди до­мен­ных имен от­пра­ви­те­ля и по­лу­ча­те­ля сес­сии, а та­к­же при раз­ре­ше­нии имен с по­мо­щью DNS

Дан­ные о се­те­вых со­еди­не­ни­ях

Мо­ду­лю ptdpi-broker

ptdpi-worker@es

За­пи­сы­ва­ет все ре­зуль­та­ты обо­га­ще­ния в под­си­сте­му хра­не­ния

Всю обо­га­щен­ную ин­фор­ма­цию

Мо­ду­лю Elasticsearch

ptdpi-worker@hosts

Ра­бо­та­ет с ин­фор­ма­ци­ей об уз­лах, ко­то­рые участ­ву­ют в се­те­вых вза­и­мо­дей­стви­ях:

• иден­ти­фи­ци­ру­ет их;
• по­ме­ча­ет сес­сии иден­ти­фи­ка­то­ра­ми уз­лов, ко­то­рые в них участ­во­ва­ли;
• на­кап­ли­ва­ет дан­ные о каж­дом узле (в част­но­сти ис­поль­зу­е­мые им про­то­ко­лы, опе­ра­ци­он­ные си­сте­мы, ло­ги­ны и бан­не­ры);
• при ди­на­ми­че­ской ад­ре­са­ции уз­лов ана­ли­зи­ру­ет со­об­ще­ния DHCP-про­то­ко­ла и опре­де­ля­ет, ко­гда узел ме­ня­ет IP-ад­рес

Дан­ные о се­те­вых со­еди­не­ни­ях

Ин­фор­ма­цию об уз­лах — мо­ду­лю nad-web-server (для за­пи­си в базу дан­ных), об иден­ти­фи­ка­то­рах уз­лов в сес­си­ях — мо­ду­лю ptdpi-broker

ptdpi-worker@icap

По­лу­ча­ет ин­фор­ма­цию об опас­но­сти фай­лов, ко­то­рые пе­ре­да­ют­ся в сес­си­ях. Для это­го мо­дуль от­прав­ля­ет фай­лы на про­вер­ку во внеш­нюю ана­ли­ти­че­скую си­сте­му и по­лу­ча­ет от нее ре­зуль­та­ты этой про­вер­ки — тип об­на­ру­жен­но­го вре­до­нос­но­го ПО и при­знак опас­но­го по­ве­де­ния, вы­яв­лен­но­го в ходе по­ве­ден­че­ско­го ана­ли­за.

Для свя­зи с внеш­ней ана­ли­ти­че­ской си­сте­мой ис­поль­зу­ет­ся про­то­кол ICAP. Мо­дуль вы­сту­па­ет в роли ICAP-кли­ен­та, ко­то­рый под­клю­ча­ет­ся к ICAP-сер­ве­ру внеш­ней ана­ли­ти­че­ской си­сте­мы

Ин­фор­ма­цию о ме­сто­по­ло­же­нии фай­лов, ко­то­рые сен­сор из­вле­ка­ет из сес­сий и за­пи­сы­ва­ет на диск

Мо­ду­лю ptdpi-broker

ptdpi-worker@mpx (в слу­чае ин­те­гра­ции с MaxPatrol SIEM)

По­лу­ча­ет от MaxPatrol SIEM иден­ти­фи­ка­то­ры и группы ак­ти­вов, в ко­то­рые вхо­дят узлы се­те­во­го вза­и­мо­дей­ствия. Со­от­но­сит сра­бо­тав­шие пра­ви­ла с из­вест­ны­ми уяз­ви­мо­стя­ми на уз­лах (про­гноз ре­зуль­та­тив­но­сти ата­ки)

Дан­ные о се­те­вых со­еди­не­ни­ях, дан­ные об ата­ках

Мо­ду­лю ptdpi-broker