Aurora Focus capteurs en option

Vous pouvez activer l'un des capteurs Aurora Focus suivants pour collecter des données supplémentaires, outre les événements de processus, de fichiers, de réseau et des événements de registre. L'activation de capteurs facultatifs peut avoir un impact sur les performances et l'utilisation des ressources sur les terminaux, ainsi que sur la quantité de données stockées dans la base de données Aurora Focus. Arctic Wolf recommande d'activer les capteurs facultatifs sur un petit nombre de terminaux pour évaluer l'impact.

Les capteurs facultatifs sont pris en charge pour les systèmes d'exploitation Windows 64 bits uniquement, sauf mention contraire.

Capteur

Description

Bonnes pratiques

Notes

Analyse avancée de fichiers exécutables portables

L'agent Aurora Focus enregistre les champs de données associés aux fichiers exécutables portables, tels que la version de fichier, les fonctions d'importation et les types d'outils Packer.

Ratio signal/bruit : Modéré

Impact potentiel sur la conservation des données et les performances : Faible
Recommandé pour :
  • Ordinateurs de bureau
  • Ordinateurs portables
  • Serveurs
  • Les données collectées par ce capteur sont transmises au moteur d'analyse de contexte pour faciliter l'analyse avancée des fichiers exécutables et ne sont pas stockées dans la base de données Aurora Focus.
  • L'activation de ce capteur aura peu ou pas d'impact sur la conservation des données Aurora Focus.
  • Si vous ajoutez et activez une règle de détection qui analyse les ressources de chaîne, l'agent Aurora Focus peut consommer d'importantes ressources de processeur et de mémoire.

Visibilité PowerShell avancée

L'agent Aurora Focus enregistre les commandes, les arguments, les scripts et le contenu à partir de JScript, PowerShell (console et environnement de script intégré), VBScript et l'exécution de script de macro VBA.

Ratio signal/bruit : Élevé

Impact potentiel sur la conservation des données et les performances : Faible à modéré
Recommandé pour :
  • Ordinateurs de bureau
  • Ordinateurs portables
  • Serveurs

Non recommandé pour Microsoft Exchange et les serveurs de messagerie.
  • Les outils fournis par Microsoft ou d'autres solutions tierces peuvent considérablement dépendre de PowerShell pour réaliser les opérations.
  • Pour améliorer la conservation des données, Arctic Wolf vous recommande de configurer des exceptions de détection pour les outils fiables qui utilisent beaucoup PowerShell.

Visibilité WMI avancée

L'agent Aurora Focus enregistre les attributs et paramètres WMI supplémentaires.

Ratio signal/bruit : Élevé

Impact potentiel sur la conservation des données et les performances : Faible
Recommandé pour :
  • Ordinateurs de bureau
  • Ordinateurs portables
  • Serveurs
  • Certains processus d'arrière-plan et de maintenance Windows utilisent WMI pour planifier des tâches ou exécuter des commandes, ce qui peut entrainer des pics d'activité WMI élevée.
  • Arctic Wolf recommande d'analyser l'utilisation WMI dans votre environnement avant d'activer ce capteur.

Capteur API

L'agent Aurora Focus surveille un ensemble identifié d'appels d'API Windows.

Ratio signal/bruit : Modéré

Impact potentiel sur la conservation des données et les performances : l'activation de ce capteur peut avoir un impact sur les performances du processeur d'un terminal
Recommandé pour :
  • Ordinateurs de bureau
  • Ordinateurs portables
  • Serveurs
  • Pris en charge sur les systèmes d'exploitation Windows x86 ou x64.
  • Nécessite l'agent Aurora Protect Desktop 3.0.1003 ou version ultérieure.
  • Nécessite l'agent Aurora Focus 3.2 ou une version ultérieure.

Visibilité de l'objet COM

L'agent Aurora Focus surveille les appels d'API et d'interface COM pour détecter les comportements malveillants tels que la création de tâches planifiées.

Ratio signal/bruit : Élevé

Impact potentiel sur la conservation des données et les performances : L'activation de ce capteur peut avoir un impact sur les performances du processeur.
Recommandé pour :
  • Ordinateurs de bureau
  • Ordinateurs portables

Non recommandé pour les serveurs.
  • Nécessite l'agent Aurora Protect Desktop 3.2 ou une version ultérieure.
  • Nécessite l'agent Aurora Focus 3.3 ou une version ultérieure.

Visibilité DNS

L'agent Aurora Focus enregistre les requêtes DNS, les réponses et les champs de données associés tels que Nom de domaine, Adresses résolues et Type d'enregistrement.

Ratio signal/bruit : Modéré

Impact potentiel sur la conservation des données et les performances : Modéré
Recommandé pour :
  • Ordinateurs de bureau
  • Ordinateurs portables

Non recommandé pour les serveurs DNS.
  • Notez que ce capteur peut collecter une quantité importante de données, mais peut également fournir une visibilité sur les données que d'autres outils peinent à enregistrer.
  • Pour améliorer la conservation des données, Arctic Wolf vous recommande de configurer des exceptions de détection pour les outils fiables qui utilisent beaucoup les services cloud.

Visibilité améliorée de la lecture des fichiers

L'agent Aurora Focus surveille les lectures de fichiers dans un ensemble identifié de répertoires.

Ratio signal/bruit : Modéré

Impact potentiel sur la conservation des données et les performances : Faible
Recommandé pour :
  • Ordinateurs de bureau
  • Ordinateurs portables
  • Serveurs
  • Certains outils de sécurité tiers peuvent utiliser les API Windows à partir desquelles ce capteur collecte des données. Dans certains cas, Aurora Focus peut enregistrer des données non pertinentes ou fiables.
  • Pour améliorer la conservation des données et obtenir un ratio signal/bruit plus élevé, Arctic Wolf recommande de configurer des exceptions de détection pour des outils de sécurité fiables.

Visibilité Améliorée des processus et de l'accrochage

L'agent Aurora Focus enregistre les informations de processus à partir des messages d'API Win32 et d'audit de kernel pour détecter les formes d'accrochage et d'injection de processus.

Ratio signal/bruit : Modéré

Impact potentiel sur la conservation des données et les performances : Faible
Recommandé pour :
  • Ordinateurs de bureau
  • Ordinateurs portables
  • Serveurs
  • Certains outils de sécurité tiers peuvent utiliser les API Windows à partir desquelles ce capteur collecte des données. Dans certains cas, Aurora Focus peut enregistrer des données non pertinentes ou fiables.
  • Pour améliorer la conservation des données et obtenir un ratio signal/bruit plus élevé, Arctic Wolf recommande de configurer des exceptions de détection pour des outils de sécurité fiables.

Visibilité HTTP

L'agent Aurora Focus suit les transactions HTTP Windows, y compris le suivi des événements pour Windows, les API WinINet et les API WinHTTP.

Ratio signal/bruit : Élevé

Impact potentiel sur la conservation des données et les performances : L'activation de ce capteur peut avoir un impact sur les performances du processeur.
Recommandé pour :
  • Ordinateurs de bureau
  • Ordinateurs portables

Non recommandé pour les serveurs.
  • Nécessite l'agent Aurora Protect Desktop 3.2 ou une version ultérieure.
  • Nécessite l'agent Aurora Focus 3.3 ou une version ultérieure.

Visibilité de la charge du module

L'agent Aurora Focus surveille les charges du module.

Ratio signal/bruit : Élevé

Impact potentiel sur la conservation des données et les performances : L'activation de ce capteur peut avoir un impact sur les performances du processeur.
Recommandé pour :
  • Ordinateurs de bureau
  • Ordinateurs portables
  • Serveurs
  • Nécessite l'agent Aurora Protect Desktop 3.2 ou une version ultérieure.
  • Nécessite l'agent Aurora Focus 3.3 ou une version ultérieure.

Visibilité des adresses de réseau privé

L'agent Aurora Focus enregistre les connexions réseau comprises dans les espaces d'adresse RFC 1918 et RFC 4193.

Ratio signal/bruit : Faible

Impact potentiel sur la conservation des données et les performances : Faible

Recommandé pour les ordinateurs de bureau.

Déconseillé pour :
  • Serveurs DNS
  • Systèmes avec peu ou sans ressources
  • Systèmes qui utilisent RDP ou un autre logiciel d'accès à distance
  • Ce capteur collecte une quantité importante de données et peut avoir un impact sur la durée pendant laquelle les données sont stockées dans la base de données Aurora Focus.
  • Arctic Wolf recommande d'activer ce capteur uniquement dans les environnements dans lesquels une visibilité complète de la communication d'adresse de réseau privé est requise.

Visibilité avancée de l'audit sous Windows

L'agent Aurora Focus surveille les types et catégories d'événements Windows supplémentaires.

Ratio signal/bruit : Modéré

Impact potentiel sur la conservation des données et les performances : Faible
Recommandé pour :
  • Ordinateurs de bureau
  • Ordinateurs portables
  • Serveurs
Ce capteur permet de surveiller les ID d'événement suivants :
  • 4769 - demande de ticket kerberos
  • 4662 - opération sur un objet active directory
  • 4624 connexion réussie
  • 4702 création de tâches planifiées

Visibilité du journal des événements Windows

L'agent Aurora Focus enregistre les événements de sécurité Windows et leurs attributs associés.

Ratio signal/bruit : Modéré

Impact potentiel sur la conservation des données et les performances : Modéré
Recommandé pour :
  • Ordinateurs de bureau
  • Ordinateurs portables
  • Serveurs
Déconseillé pour :
  • Contrôleurs de domaine
  • Microsoft Exchange et serveurs de messagerie
  • Les journaux d'événements Windows à partir desquels ce capteur collecte des données sont fréquemment générés lors d'une utilisation normale du système.
  • Pour réduire les doublons et améliorer la conservation des données, déterminez si votre organisation dispose déjà d'outils de collecte des données à partir des journaux d'événements Windows.