• info@tkmgroup.com.vn
  • Địa chỉ giao dịch: số 21, Ngõ 1, Lê Văn Thiêm, Phường Nhân Hòa, Quận Thanh Xuân, Hà Nội

– Tích hợp trên giải pháp chung của Sysman

1. Giải pháp phát hiện, phòng chống mã độc

Triển khai cài đặt, cấu hình agent trên máy chủ (không xung đột với giải pháp Antivirus – AV đã được khách hàng triển khai) nhằm tận dụng tối đa khả năng phát hiện và phòng chống mã độc. Với giải pháp sử dụng agent của Sysman, các tiến trình đang khởi chạy sẽ được kiểm tra nhằm phát hiện sớm các kết nối bất thường hay các tệp tin không được ký số và gửi cảnh báo đến máy chủ quản trị tập trung của Sysman. Cơ sở dữ liệu về dấu hiệu xâm nhập (IoC – Indicator of Compromise) được TKM xây dựng và có khả năng cập nhật tự động và thủ công bởi quản trị viên. Cơ chế phát hiện thông qua hình thức so khớp mẫu, các dữ liệu sử dụng để so khớp có thể kể đến như địa chỉ IP, mã băm của tiến trình, ứng dụng,…

2. Giải pháp kiểm tra sự thay đổi các tệp tin quan trọng trên máy chủ

Triển khai cài đặt, cấu hình agent trên máy chủ và xác định các tệp tin quan trọng (tệp tin CSDL, tệp tin index của trang web,…). Khi có bất cứ sự thay đổi đối với tệp tin, hệ thống quản trị tập trung Sysman sẽ đưa ra cảnh báo cho quản trị viên để kiểm tra và xử lý sự cố phát sinh (nếu có). Cơ chế phát hiện thông qua việc kiểm tra tính toàn vẹn của các tệp tin quan trọng và thực hiện so khớp định kỳ (tuỳ cấu hình từ phía quản trị viên) để đưa ra cảnh báo.

Sẽ có agent với chức năng giống như usb của giải pháp MCTS (thu thập thông tin của máy tính) cài trên các thiết bị mong muốn.

  • Agent sẽ thu thập thông tin thiết bị theo định kỳ (có thể lập lịch)
  • Các thông tin thu thập sẽ được gửi lên server quản lý chung
  • Server sẽ phân tích và đánh giá về thiết bị thông qua những thông số thu thập được (ổ đĩa, ram, autorun, registry, chữ ký số phần mềm, các tiến trình đang chạy,…)
  • Thông tin về ATTT sẽ được lưu trữ tại server và có thể tạo báo cáo trực quan cho người quản trị

Note:

Các thông số lấy được từ thiết bị:

  • Autoruns
  • event_log
  • files
  • hardware
  • networks_adapter
  • os
  • printers
  • processes
  • registry
  • security_settings(AV, Firewall, UAC,..)
  • services
  • softwares
  • Gửi thông tin thu thập được lên Server phân tích:
    • Các thông tin thu thập sẽ được phân tích trên server (AI, database C&C, database signature mã độc, …)
    • Lưu thông tin thu thập trên server với timestamp để sau này, khi có mã độc được phát hiện có thể tìm thấy được ngay máy nào bị lây nhiễm dựa vào thông tin đã thu thập lần trước.
    • Tạo báo cáo docx, pdf chi tiết đến từng máy tính.