7.13. Для событий ИБ, связанных с изменением информационной инфраструктуры размещения целевых систем, информационной инфраструктуры клиентов, аналитику может быть рекомендовано рассмотрение следующей информации:
энергонезависимые технические данные, расположенные на запоминающих устройствах СВТ:
- информация о составе и атрибутах файлов данных, в том числе исполняемых файлов данных, файлов данных программного обеспечения, командных файлов данных и скриптов, файлов данных, потенциально содержащих мобильный код и исполняемые макросы, файлов документов;
- информация о реализации операций с использованием функций файловой системы (операционной системы), в том числе самокопирование, захват иных файлов данных, передача файлов данных;
- информация конфигурационных файлов данных операционных систем и приложений целевых систем, информация системного реестра операционной системы Windows:
- информация о программных сервисах, запускаемых автоматически при загрузке операционной системы;
- информация об установленном программном обеспечении, его обновлениях; • информация об обновлениях операционной системы;
- конфигурационная информация, определяющая размещение файлов протоколов (журналов) регистрации (log-файлов) и временных файлов;
- информация о запланированных задачах (scheduled jobs), включая информацию о наименовании запланированной задачи, составе выполняемых команд, программ и операций запланированной задачи, планируемых датах и времени выполнения запланированной задачи;
- информация о составе и атрибутах скрытых и удаленных исполняемых файлов данных;
- информация о составе, атрибутах и содержании временных файлов данных;
- информация о порождаемых исполняемыми файлами данных программных процессах;
- информация о составе и атрибутах скрытых исполняемых файлов данных и исполняемых файлов данных, расположенных в скрытых директориях файловых систем;
- информация о составе и атрибутах исполняемых файлов данных, расположенных в неиспользуемых областях в пределах логических модулей выделения файлового пространства (file slack space);
- информация о составе и атрибутах исполняемых файлов данных, расположенных в неиспользуемом пространстве файловой системы (free space);
- содержательная информация об атрибутах и содержании файлов данных:
- дата и время создания файла;
- дата и время последней модификации файла;
- дата и время последнего доступа к файлу;
- дата и время последнего изменения атрибутов файла, в том числе атрибутов, связанных с изменением прав доступа к файлу и владельца файла данных (inode change);
- размер файла данных, место размещения в файловой системе;
- формат или структура файла данных;
- наличие объектов, внедренных в файл данных;
- • используемые (реализуемые) исполняемым файлом данных программных интерфейсах (API);
- • значение вычисления хэш-функции файла данных;
- • сетевые соединения, инициируемые или принимаемые исполняемыми файлами данных;
- • дополнительные атрибуты файлов данных файловой системы NTFS (alternate data stream, ADS);
- информация протоколов (журналов) регистрации (system events, application events, audit records) операционных систем и приложений целевых систем:
- информация о загрузке и завершении работы операционной системы;
- информация об изменении конфигурационных данных операционных систем;
- информация о загрузке, выгрузке и изменении функционирования драйверов физических и виртуальных устройств;
- информация об изменении состава или обновлении программного обеспечения;
- информация о подключении и отключении устройств, в том числе отчуждаемых и мобильных устройств;
- информация о запускаемых программных процессах и сервисах;
- информация о составе и работе системных служб (запуск, остановка, возобновление, завершение, удаление, блокирование системных служб);
- информация об ошибках программного обеспечения;
- информация об изменении состава запланированных задачах (scheduled jobs), операциях по управлению расписанием запланированных задач;
энергозависимые технические данные операционных систем и данные, расположенные в оперативной памяти СВТ:
- информация, полученная из неиспользуемых областей в пределах логических страниц или блоков выделения пространства оперативной памяти (memory slack space);
- информация, полученная из неиспользуемого пространства оперативной памяти (memory free space, garbage);
- информация о сетевых конфигурациях;
- информация о сетевых соединениях;
- информация о запущенных программных процессах;
- информация об открытых файлах данных;
- информация об открытых сессиях доступа;
- информация о системных дате и времени операционной системы, включая информацию о часовом поясе;
данные, связанные с функционированием СУБД:
- информация о создании резервных копий баз данных и их восстановлении из резервных копий;
- информация об изменении конфигурационных данных СУБД и баз данных;
- информация об операциях, связанных с созданием, вызовом, загрузкой программных модулей и хранимых процедур и функций, в том числе внешних хранимых процедур (DDL-процедур).
