Agent

Übermittelt Log-Daten, blockt Angreifer und überwacht die Dateiintegrität

Schlankes Service - großer Nutzen

Der Agent sollte auf jedem sicherheitsrelevanten Host installiert werden. Er übermittelt Log-Daten verschlüsselt an den SecurityAdvisor, überwacht die Datei- und Windows-Registry Integrität und blockt Angriffe (ETF).

  • Log Provider (File)
  • Rootkit Detection
  • ETF Block
  • Configuration Audit
  • Datei / Windows Registry Integritätsprüfung
  • Windows | Linux / Unix | OS X

Log-Daten

Essentiel für jedes SIEM

Sobald der Agent auf den sicherheitsrelevanten Hosts installiert wurde und sich mit dem SecurityAdvisor verbunden hat, kann er über das SecurityAdvisor Web-GUI konfiguriert werden. Dort stellt man die zu überwachenden Logdateien und deren Format ein.

Der Agent beginnt sofort mit der verschlüsselten Übermittlung der Log-Daten an den SecurityAdvisor.

Dateiintegrität

Änderungen sofort erkennen

Sollte sich die Prüfsumme einer überwachten Datei ändern, sie gelöscht werden oder eine neue Datei zu einem übwerachten Ordner hinzugefügt werden registriert das der Agent. Die Überwachung erfolgt in Echtzeit oder zu einstellbaren Intervallen.

Im SecurityAdvisor Web-GUI wird jede Änderung als Ereignis mit Zeitstempel dargestellt. Man kann diesen Dateiintegritäts Ereignissen auch eine Risikoeinschätzung ("Risklevel": 0-10) über das benutzerdefinierte Regelwerk zuweisen lassen.

Suche nach Dateien mit Rechteänderungen

ETF Blocks

Dezentralisierter Schutz

Sollte ein Ereignis einen ETF Block auslösen (über benutzerdefinierte Regel des SecurityAdvisor) wird der auf dem Host installierte Agent angewießen die Quell IP zu blocken. Nach Ablauf des ETF Timeouts wird der Block wieder aufgehoben.

Suche nach ETF Blocks