Система мониторинга событий информационной безопасности

[KeshaKost 1]

Добрый день. На работе поставили задачу "Осуществить настройку правил системы мониторинга событий информационной безопасности путем внесения в правила корреляции событий следующих индикаторов компрометации (sha256, sha1, md5)" и дальше список хешей. Подскажите пожалуйста, как реализовать данную задачу, да этого никогда с таким не сталкивался.

Изменено 27 июня пользователем KeshaKost

[mike 1 1 047]

Здравствуйте, например, через контроль программ, который будет работать в режиме чёрного списка и соответствующей категории из списка хэшей. 

[KeshaKost 1]

1 минуту назад, mike 1 сказал:

Здравствуйте, например, через контроль программ, который будет работать в режиме чёрного списка и соответствующей категории из списка хэшей. 

Здравствуйте. Да, я уже начал делать это через "Контроль приложений", но есть несколько вопросов. При настройке правил с запрещенными хешами, отсутствует добавление sha1. И когда я внес все предоставленные мне хеши sha256 и md5, возникла данная ошибка "Категория содержит неподдерживаемое условие, основанное только на хеше MD5", и теперь я не могу даже выбрать данную категорию, что бы удалить ее или отредактировать.

 

 

 

 

[mike 1 1 047]

Лучше с нуля создать новую категорию и внести только SHA256. Современные продукты быстрее работают с SHA256 нежели с MD5. 

[KeshaKost 1]

6 минут назад, mike 1 сказал:

Лучше с нуля создать новую категорию и внести только SHA256. Современные продукты быстрее работают с SHA256 нежели с MD5. 

А не подскажите как теперь избавиться от категорий с данной ошибкой?😄

 

[mike 1 1 047]

3 часа назад, KeshaKost сказал:

А не подскажите как теперь избавиться от категорий с данной ошибкой?😄

Через вебку особо не работаю, к сожалению. Если все хэши очистить, а потом удалить категорию, то удаляется?