Xensor
端點惡意程式鑑識系統

法源：

中央研究院係屬 "資通安全責任等級B級之公務機關"

依據 "資通安全責任等級分級辦法" https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030304

該級機關應辦事項, 參見: 附表三 資通安全責任等級B級之公務機關應辦事項.PDF

https://law.moj.gov.tw/LawClass/LawGetFile.ashx?FileId=0000298109&lan=C

該應辦事項中之端點偵測及應變機制, 規定:

一、初次受核定或等級變更後之二年內，完成端點偵測及應變機制導入作業，並持續維運及依主管機關指定之方式提交偵測資料。

二、本辦法中華民國一百十年八月二十三日修正施行前已受核定者，應於修正施行後二年內，完成端點偵測及應變機制導入作業，

　　並持續維運及依主管機關指定之方式提交偵測資料。

簡介：

結合機器學習演算法和獨特 FTA 鑑識技術，提供企業高效的自動資安風險盤點 (Threat Triage)，並對全單位進行遠端事件調查、內部入侵行為分析 (Threat Hunting) 等。有別於傳統資安產品， Xensor 整合了多維度的威脅情報，包含使用者帳號行為調查、程式記憶體鑑識、端點電腦鑑識與網路活動分析，不需額外病毒碼與特徵規則，能即可主動且快速地反應，降低資安應變成本。

由中研院資服處統一採購Xensor端點防護軟體，提供全所Windows主機免費安裝(LINUX、MAC需另外收費)。進行電腦行程監測及預警服務。廠商可以在發現有疑慮的執行程序時，發送通知給資訊服務處，告知使用者可能有潛在風險的程序正在執行，進而進一步避免某部分惡意程式的執行所造成的破壞及損失。

功效：

本服務可協助資安防護，簡化”發現”與”修復”資安問題等工作，以降低資訊安全維護成本。可分為前、中、後期三階段：

• 前期：定期檢測端點狀態，類似資安健診，長時間定期執行可建立系統的資安狀態基準。

• 中期：資安事件發生後，可以快速比對已建立之系統資安基準，並發現攻擊來源與橫向擴散的範圍，以及早處置並進行災損控制。

• 後期：可持續觀察事件處理是否完成，並持續追蹤可能異常行為。

運作方式：

• Xensor為數位鑑識報告收集工具，可透過快速的掃描，完成數位鑑識的資料分析與蒐集，達成快速且有效率的數位鑑識。

• Xensor標準架構會將分析完成的報告送回戰情中心(Cycarrier)進行關聯分析，戰情中心分析完成後將會推送報告至Xensor，讓使用者可確認單位相關端點的鑑識狀況。

分析內容：

• Xensor主要分析Windows系統的C槽，包含系統目錄的檔案、執行檔、開機啟動項目程式、排程啟動程式等自動啟動程式，並掃描當下的網路連線狀態，確認記憶體內容判斷是否有惡意程式執行。

• 另會再針對Windows log中有執行歷程的程式，包含Prefectch、Simcache及Windows Event log進行分析。

• 不分析Word、TXT等非執行檔的檔案。

• 這些資訊蒐集於端點進行，相關資料完成分析後，回傳分析後的內容，不會回傳端點相關之檔案。

支援平台：

• Server：Windows Server 2003 R2以上【註1】。

• PC：Windows XP SP3以上【註2】。

• Linux：Ubuntu 9.10-20.10，Debian 7.0-10.8，RHEL 6.0-8.3，CentOS 6.0-8.3，OpenSUSE 15.1【註3】。

• Apple：MacOS 10.10 ~ 10.15, 11.2【註3】。

• 執行掃描需使用具有管理者權限帳號執行；掃描連線方式為TCP 80 or 443 Port。

【註1】、【註2】：2003 R2與XP電腦只支援http 80 Port掃描。

【註3】： Linux與Apple系統109年度測試，110年整合各單位之需求辦理聯合採購，後續各單位有新增之需求可以聯合採購之單價逕向廠商辦理採購。

奧義智慧科技：https://www.cycarrier.com/xensor/