Embedded Files
Xensor
本院使用 Xensor 軟體進行相關端點防護
法源:
中央研究院係屬 "資通安全責任等級B級之公務機關"
依據 "資通安全責任等級分級辦法" https://law.moj.gov.tw/LawClass/LawAll.aspx?pcode=A0030304
該級機關應辦事項, 參見: 附表三 資通安全責任等級B級之公務機關應辦事項.PDF
https://law.moj.gov.tw/LawClass/LawGetFile.ashx?FileId=0000298109&lan=C
該應辦事項中之端點偵測及應變機制, 規定:
一、初次受核定或等級變更後之二年內,完成端點偵測及應變機制導入作業,並持續維運及依主管機關指定之方式提交偵測資料。
二、本辦法中華民國一百十年八月二十三日修正施行前已受核定者,應於修正施行後二年內,完成端點偵測及應變機制導入作業,
並持續維運及依主管機關指定之方式提交偵測資料。
簡介:
結合機器學習演算法和獨特 FTA 鑑識技術,提供企業高效的自動資安風險盤點 (Threat Triage),並對全單位進行遠端事件調查、內部入侵行為分析 (Threat Hunting) 等。有別於傳統資安產品, Xensor 整合了多維度的威脅情報,包含使用者帳號行為調查、程式記憶體鑑識、端點電腦鑑識與網路活動分析,不需額外病毒碼與特徵規則,能即可主動且快速地反應,降低資安應變成本。
由中研院資服處統一採購Xensor端點防護軟體,提供全所Windows主機免費安裝(LINUX、MAC需另外收費)。進行電腦行程監測及預警服務。廠商可以在發現有疑慮的執行程序時,發送通知給資訊服務處,告知使用者可能有潛在風險的程序正在執行,進而進一步避免某部分惡意程式的執行所造成的破壞及損失。
功效:
本服務可協助資安防護,簡化”發現”與”修復”資安問題等工作,以降低資訊安全維護成本。可分為前、中、後期三階段:
前期:定期檢測端點狀態,類似資安健診,長時間定期執行可建立系統的資安狀態基準。
中期:資安事件發生後,可以快速比對已建立之系統資安基準,並發現攻擊來源與橫向擴散的範圍,以及早處置並進行災損控制。
後期:可持續觀察事件處理是否完成,並持續追蹤可能異常行為。
運作方式:
Xensor為數位鑑識報告收集工具,可透過快速的掃描,完成數位鑑識的資料分析與蒐集,達成快速且有效率的數位鑑識。
Xensor標準架構會將分析完成的報告送回戰情中心(Cycarrier)進行關聯分析,戰情中心分析完成後將會推送報告至Xensor,讓使用者可確認單位相關端點的鑑識狀況。
分析內容:
Xensor主要分析Windows系統的C槽,包含系統目錄的檔案、執行檔、開機啟動項目程式、排程啟動程式等自動啟動程式,並掃描當下的網路連線狀態,確認記憶體內容判斷是否有惡意程式執行。
另會再針對Windows log中有執行歷程的程式,包含Prefectch、Simcache及Windows Event log進行分析。
不分析Word、TXT等非執行檔的檔案。
這些資訊蒐集於端點進行,相關資料完成分析後,回傳分析後的內容,不會回傳端點相關之檔案。
支援平台:
Server:Windows Server 2003 R2以上【註1】。
PC:Windows XP SP3以上【註2】。
Linux:Ubuntu 9.10-20.10,Debian 7.0-10.8,RHEL 6.0-8.3,CentOS 6.0-8.3,OpenSUSE 15.1【註3】。
Apple:MacOS 10.10 ~ 10.15, 11.2【註3】。
執行掃描需使用具有管理者權限帳號執行;掃描連線方式為TCP 80 or 443 Port。
【註1】、【註2】:2003 R2與XP電腦只支援http 80 Port掃描。
【註3】: Linux與Apple系統109年度測試,110年整合各單位之需求辦理聯合採購,後續各單位有新增之需求可以聯合採購之單價逕向廠商辦理採購。
Page updated
Report abuse