На главную страницу
О журнале План выхода Подписка Интернет-Магазин Реклама Контакты и реквизиты English На главную страницу Карта сайта Поиск по сайту Обратная связь

перейти к Содержанию номера
№ 3 (123)   май–июнь 2025 г.
Раздел: Безопасность компьютерных систем
Метод расследования инцидентов информационной безопасности на основе использования системы Velociraptor и YARA-правил
Method of Investigating Information Security Incidents Based on the Use of the Velociraptor System and YARA Rules
Георгий Фаризович Шипулин1, 2, кандидат юридических наук, доцент
G. F. Shipulin1, 2, PhD (Law), Associate Professor
podumai_nad@mail.ru
Игорь Алексеевич Непомнящих2
I. A. Nepomniashchikh2
nepomnjawih@yandex.ru
1 МИРЭА – Российский технологический университет
2 Московский политехнический университет
1 MIREA – Russian Technological University 2 Moscow Polytechnic University
Предыдущая статьяСледующая статья

УДК 004.056

В статье описан процесс расследования инцидентов информационной безопасности, включающий этапы выявления инцидента, сбора и анализа данных, а также локализации и устранения угрозы и последствий инцидента. Общим недостатком применяемых методов и средств сбора цифровых доказательств в рамках расследования инцидентов информационной безопасности является фрагментированность собранных данных, что усложняет корреляцию и сопоставление событий из разных источников и систем в корпоративной сети. Описан принцип работы системы обнаружения и анализа вредоносной активности на конечных устройствах с открытым исходным кодом Velociraptor. Предложенный метод основан на совокупном использовании системы Velociraptor и применении YARA-правил, что обеспечивает унифицированный сбор и анализ цифровых доказательств, возможность создания типовых правил реагирования на инциденты информационной безопасности, а также автоматизацию процесса локализации инцидента. Кроме того, за счет генерации YARA-правил на основе выявленных индикаторов компрометации обеспечивается интеграция с процессом проактивного поиска угроз, направленным на выявление скрытых сетевых атак.

< ... >

Ключевые слова: EDR-системы, индикатор компрометации, форензика, триаж, расследование инцидентов, YARA-правила, угрозы информационной безопасности

The article describes the process of investigating IS incidents. A common disadvantage of the methods and means used to collect digital evidence in the investigation of IS incidents is the fragmentation of the collected data. The principle of operation of the Velociraptor open source malware detection and analysis system is described. The proposed method is based on the combined use of the Velociraptor system and the application of YARA rules, provides a unified collection and analysis of digital evidence, the ability to create standard rules for responding to IS incidents, as well as automating the incident localization process. In addition, by generating YARA rules based on the identified indicators of compromise, integration with the proactive threat search process aimed at detecting hidden network attacks is ensured.

Keywords: EDR systems, indicator of compromise (IoC), forensics, triage, incident response, YARA rules
warning!   Полную версию статьи смотрите на страницах журнала «Защита информации. Инсайд»

Обращайтесь!!!
e-mail:    magazine@inside-zi.ru
тел.:        +7 (921) 958-25-50, +7 (911) 921-68-24

Предыдущая статья    СОДЕРЖАНИЕ НОМЕРА    Следующая статья

| Начало | О журнале | План выхода | Подписка | Интернет-магазин | Реклама | Координаты |

Copyright © 2004-2025 «Защита информации. Инсайд». Все права защищены
webmaster@inside-zi.ru

   Rambler's Top100    Технологии разведки для бизнеса