Персональные компьютеры

«Скаут Агент» — модуль для удаленного автоматизированного сбора данных рабочих станций и серверов, интересующих службу безопасности компании.

 

«Центр Управления Агентами» представляет собой инструмент, с помощью которого возможно:

  • создавать записи о рабочих станциях и объединять их в группы;
  • создавать агентов для их последующего развертывания на конечных точках; 
  • передавать агентам задачи по извлечению данных с различными конфигурациями;
  • контролировать состояние выполняемых задач;
  • подключать новых пользователей для доступа к работе. 

Авторизация в «Центре Управления Агентами»

Для успешного входа в «Центр Управления Агентами» пользователю с правами администратора следует подключиться к серверу, на котором установлен «МК Enterprise».

«Центр Управления Агентами» включает в себя следующие разделы:

  • рабочие станции; 
  • группы;
  • профили;  
  • библиотека агентов;
  • пользователи.

В каждом из них осуществлена возможность поиска по различным задаваемым фильтрам в поле, расположенном справа вверху центральной рабочей области.

Библиотека агентов 

В «Библиотеке агентов» возможно создавать новых агентов, просматривать список уже созданных агентов, а также скачивать их в формате .ехе для дальнейшей установки на конечных точках. Работа в данном разделе начинается с создания новых агентов. Для этого следует кликнуть на кнопку «Создать нового агента» и в открывшемся окне заполнить поля с именем агента, выбрать версию агента, ввести IP-адрес сервера, задать порт сервера, определить группы, с которыми будет работать агент (см. раздел «Группы») и, при необходимости, добавить описание. После клика на кнопку «Создать агент» агент будет создан и появится в «Библиотеке агентов». Агенты, установленные на рабочих станциях, могут подключиться к серверу, только если устанавливаемые агенты присутствуют в данном разделе.

 

Последующий процесс установки агентов зависит от регламентов работы службы информационной безопасности организации. 

Если внутренний регламент не запрещает, сотрудник службы информационной безопасности может установить агентов на рабочие станции при помощи метода удаленного вызова процедур (RPC) через раздел «Рабочие станции».

Данный способ позволяет создать запись о рабочей станции и затем развернуть на ней агента, используя метод удаленного вызова процедур Microsoft (Microsoft Remote Procedure Call Protocol). Для этого следует кликнуть на кнопку «Добавить рабочую станцию». В открывшемся окне необходимо заполнить поля «IP-адрес или имя ПК», «имя пользователя» ПК, на котором будет установлен агент, и «пароль» пользователя. Также можно задать название рабочей станции, поместить ее в одну из групп (см. раздел «Группы») и добавить описание. Затем следует нажать на кнопку «Добавить», и соответствующая запись о новой рабочей станции появится в разделе.

В настоящий момент возможна поддержка только рабочих станций на платформе Windows. Для того чтобы подключение к рабочей станции прошло успешно, на ней должна быть активирована служба удаленного вызова процедур (RPC).  

Чтобы развернуть агента на созданной рабочей станции, следует кликнуть по ее названию в центральной рабочей области и затем нажать на кнопку «Развернуть агент». Откроется окно, в котором необходимо выбрать агента из списка в библиотеке и кликнуть на кнопку «Развернуть», чтобы выбранный агент был установлен на требуемой рабочей станции.

 В случае если распространение агентов по регламенту возможно осуществить только в рамках внутренних систем, следует сформировать установочный файл агента с любым заданным именем в формате .exe. Для этого необходимо кликнуть на кнопку «Скачать нового агента» и указать необходимый путь для его сохранения и передачи на конечную станцию через любую возможную систему. 

Профили 

Раздел «Профили» позволяет создавать шаблоны задач на извлечение данных из рабочих станций, задавая необходимые параметры. При нажатии кнопки «Создать профиль» открывается инструмент «Конфигурация извлечения», с помощью которого возможно выбрать стандартную конфигурацию на вкладке «Общее» или создать пользовательскую конфигурацию на следующих вкладках. 

Стандартная конфигурация позволит проводить поиск и сбор следующих категорий данных: все приложения; web-браузеры; мессенджеры; электронная почта; документы; файлы, измененные за последний день, и файлы, созданные за последний день.

Настройка пользовательской конфигурации

Для создания пользовательской конфигурации возможно задать такие параметры, как пути поиска, исключенные пути, пароли, файлы, приложения, системные артефакты, память и правила YARA через соответствующие вкладки.

  • Пути поиска

На вкладке «Пути поиска» возможно задать поиск приложений, артефактов и файлов, который будет осуществляться на указанную глубину. Глубина поиска представляет собой максимальный уровень вложенности папок, начиная с указанной корневой папки. Путь можно указать полностью или в формате маски, заменив некоторые фрагменты на символ «*» для поиска по всем подходящим вариантам, например: Users/*/AppData/Local. Если не задан раздел или логический диск, то путь применяется ко всем разделам. Следует кликнуть на кнопку «Добавить», чтобы добавить новые пути поиска и задать их глубину, а чтобы удалить ненужный путь, необходимо нажать на кнопку «Удалить». Кнопка «Сохранить» позволит применить заданную конфигурацию.

  • Исключенные пути

На вкладке «Исключенные пути» можно указать пути, которые требуется исключить из поиска. Путь можно указать полностью или в формате маски, заменив некоторые фрагменты на символ «*» для поиска по всем подходящим вариантам, например: Users/*/AppData/Local. Если не задан раздел или логический диск, то путь применяется ко всем разделам. Следует кликнуть на кнопку «Добавить», чтобы добавить пути поиска, которые будут исключены, а чтобы убрать исключение, необходимо нажать на кнопку «Удалить». Кнопка «Сохранить» позволит применить заданную конфигурацию.

  • Пароли 

На вкладке «Пароли» возможно добавить пароли, которые будут использоваться при подборе паролей: например, такие как код разблокировки Telegram Desktop, мастер-пароль от Firefox и др. Следует кликнуть на кнопку «Добавить», чтобы добавить новые пароли, а чтобы удалить ненужный пароль, необходимо нажать на кнопку «Удалить». Кнопка «Сохранить» позволит применить заданную конфигурацию.

 

  • Файлы

На вкладке «Файлы» можно задать одно или несколько правил со следующими условиями для поиска файлов: имя файла, время создания файла, время изменения файла, время последнего доступа к файлу, путь к файлу, расширение файла, хеш и правила YARA. Поиск совпадений может происходить как по всем условиям, так и по любому из заданных условий. Следует кликнуть на кнопку «Добавить правило», чтобы добавить новое правило и задать его имя, а чтобы удалить ненужное правило, необходимо нажать на кнопку «минус» в верхнем углу справа. Кнопка «Сохранить» позволит применить заданную конфигурацию.

  • Приложения

На вкладке «Приложения» возможно выбрать интересующие приложения для поиска кликом по чекбоксам с названиями приложений или оставить полный список представленных приложений. Следует нажать на чекбокс «Источник», чтобы добавить или удалить выбор всех приложений в один клик. Кнопка «Сохранить» позволит применить заданную конфигурацию.

  • Системные артефакты

На вкладке «Системные артефакты» можно выбрать интересующие системные артефакты для поиска или оставить их полный список. Следует нажать на чекбокс «Артефакт», чтобы добавить или удалить выбор всех артефактов в один клик. Кнопка «Сохранить» позволит применить заданную конфигурацию.

  • Память

На вкладке «Память» возможно выбрать данные, которые будут извлечены из оперативной памяти исследуемой системы кликом на соответствующий чекбокс. Кнопка «Сохранить» позволит применить заданную конфигурацию.

  • YARA

На вкладке «YARA» можно создать YARA-правила для дальнейшего использования в разделе «Файлы», что позволит находить файлы, соответствующие этим правилам. После клика на кнопку «Добавить правило» откроется окно Редактора Yara, где можно написать правило и сохранить его с помощью соответствующей кнопки. Редактор укажет на синтаксические ошибки при их обнаружении. В случае корректно написанного правила окно редактора закроется, и клик на кнопку «Сохранить» во вкладке YARA позволит применить заданные правила.

Записи о пользовательских конфигурациях будут сохранены в верхней части центральной рабочей области раздела «Профили». При клике на конкретный профиль отобразятся все детали сохраненной конфигурации на правой боковой панели. 

 Рабочие станции 

В данном разделе осуществляется управление рабочими станциями: создание и удаление записей о новых рабочих станциях для развертывания на них агентов изв «Библиотеки агентов», контроль онлайн-присутствия рабочих станций и запуск задач на извлечение данных из них.

Для развертывания агента на рабочей станции следует нажать на кнопку «Развернуть агент» в верхней части центральной рабочей области либо через клик правой кнопки мыши по строке с названием необходимой рабочей станции.

Если установка агента проводилась через установку файла в формате .ехе, сформированного в «Библиотеке агентов», то в данном разделе записи о рабочих станциях появятся автоматически, когда агент запустится на конечной точке.

Кнопка «Запустить задачу» позволит провести поиск и извлечение интересующих данных (из ранее созданных задач в разделе «Профиль»). Для этого необходимо выбрать интересующие рабочие станции и указать для них один или несколько профилей. При выборе более одного профиля задачи будут выполняться в порядке очереди на каждой конечной точке.

В данном окне можно также поставить галочку в чекбоксе «Экспорт результатов извлечения в МКЕ», и тогда в случае успешного извлечения данные будут автоматически экспортированы в «МК Enterprise» и доступны для дальнейшего анализа широким ассортиментом аналитических инструментов программы «МК».

В нижней части центральной рабочей области отображаются такие параметры задачи, как ее ID, имя, текущий статус, время начала, время завершения, размер извлечения, количество обнаруженных файлов и артефактов, а также версия агента. Чуть ниже находится индикатор в виде зеленой линии, который демонстрирует прогресс выполнения извлечения.

 В случае успешного извлечения в категории «Статус задачи» появится надпись «Успешно». Если не был настроен автоматический импорт данных в «МК Enterprise», то можно будет скачать полученные данные, кликнув на кнопку «Скачать извлечение», либо также экспортировать их в «МК Enterprise», нажав на «Экспорт извлечения в МКЕ». 

Группы 

В разделе «Группы» возможно объединить несколько рабочих станций в отдельные группы и запустить задачу на извлечение данных сразу для всей группы. Для создания новой группы следует кликнуть на кнопку «Создать группу» и в появившемся окне задать имя группы, описание и выбрать цветовую индикацию для удобства работы.

Пользователи 

В разделе «Пользователи» главный администратор (topadmin) может создавать новых пользователей, чтобы другие сотрудники службы безопасности также могли подключиться к работе в «Центре Управления Агентами» и выполнять задачи по поиску данных. Для этого пользователю topadmin следует кликнуть на кнопку «Новый пользователь» и в открывшемся окне заполнить поля «Полное имя», «Имя пользователя», задать пароль доступа, а также, при необходимости, добавить дополнительную информацию в поле «Описание». Созданным таким образом пользователям будет доступен полный функционал программы, кроме возможности создавать, изменять и удалять новых пользователей. С помощью клика правой кнопкой мыши по имени пользователя главный администратор может изменить его данные или полностью удалить его.