贵公司最宝贵的资产是数据和对其有访问权限的用户,但是,您的安全取决于用户工作站。 收集、存储和分析所有用户以及特权帐户数据通常需要大量存储、耗时地收集事件数据和关于所收集的事件日志数据的内部专业知识。 而这正是我们的职责所在。
Quest InTrust是可扩展的智能事件日志管理软件,使您可以监控所有用户工作站和管理员活动,从登录到注销以及其间的一切活动都包括在内。 通过20:1的数据压缩削减存储成本,并存储来自Windows、UNIX/Linux服务器、数据库、应用程序和网络设备的长达数年之久的事件日志。 InTrust实时日志监控和警报功能通过自动响应可疑活动,使您可以即时应对威胁。
通过一个可搜索的位置收集并存储来自各种系统、设备和应用程序的所有本机或第三方工作站日志,而且提供即时可用性,从而实现安全性与合规性报告。 获得Windows事件日志、UNIX/Linux、IIS和Web应用程序日志、PowerShell审核跟踪、终端保护系统、代理和防火墙、虚拟化平台、网络设备、自定义文本日志以及Quest Change Auditor事件的统一视图。
收集数年的数据并存储在高度压缩的存储库中(在建立索引的情况下实现20:1的压缩率,在不建立索引的情况下实现40:1的压缩率),从而使您可以节省多达60 %的存储成本,遵守数据保留政策,并确保持续符合HIPAA、SOX、PCI、FISMA等要求。
将来自分散源的加密事件日志整合成一种简单的标准化格式,其中包含相关用户、内容、时间、位置、源和对象,以帮助您了解数据。 独特的全文索引功能使长期事件数据易于进行搜索,从而实现快速的报告、故障排除和安全调查。
监视未授权或可疑的用户活动,例如超出阈值限制的文件创建、使用已知勒索软件攻击的文件扩展名、可疑进程启动或可疑PowerShell命令。 通过实时警报即时响应威胁。 InTrust使您可以轻松触发对可疑事件的自动化响应,例如���止活动、禁用违规用户、撤消更改和/或启用紧急审核。
InTrust支持与Splunk、QRadar、ArcSight以及支持常见系统日志格式(RFC 5424、JSON、Snare)的任何其他SIEM轻松、可靠地进行集成。 借助InTrust的可预测按用户许可模式,您可以根据需要收集任何数量的数据,并根据需要将它们存储任意长的时间。 然后,根据行业妥善做法使用预构建的过滤器仅将相关日志数据和警报转发到SIEM解决方案进行实时安全分析。 此集成使您可以削减年度SIEM许可成本。
请试用此ROI计算器以了解您可以为贵企业节省多少金钱。
通过监控用户和管理员活动,从登录到注销以及其间发生的一切都包括在内,从而保护您的工作站以抵御现代网络攻击,例如哈希传递、网络钓鱼或勒索软件。 收集并存储用户访问的所有重要详细信息,如谁执行了操作、该操作涉及什么、执行于哪一台服务器以及源于哪一台工作站。
一台InTrust服务器每秒可以处理多达60,000个事件且支持10,000个或更多代理程序同时写入事件日志,使您实现更高的效率、更大的可扩展性和巨大的硬件成本节省。 对于需要更多容量的大型企业组织,只需添加其他InTrust服务器并划分工作负载 — 可扩展性几乎是无限的。
在一个位置便可利用所有Quest安全与合规性解决方案提供的宝贵洞察力。 借助IT Security Search,您可以在一个响应快速的、类似于Google的IT搜索引擎中关联来自InTrust、Change Auditor、Enterprise Reporter、Recovery Manager for AD以及Active Roles的数据,实现更快的安全事件响应和取证分析。 通过丰富的可视化和事件时间表轻松分析用户授权和活动、事件趋势、可疑模式等。
轻松将调查结果转换为多种报告格式,包括HTML、XML、PDF、CSV和TXT以及Microsoft Word、Visio和Excel。 借助内置的事件日志专业技术,安排报告的生成时间并自动将其分发给各团队,或从内容丰富的预定义妥善做法报告库中进行选择。 通过数据导入和整合工作流,您甚至可以将数据的子集自动转发到SQL Server以进行进一步的高级分析。
通过在可对创建的日志进行重复数据删除的每台远程服务器上创建缓存位置,保护事件日志数据,以防止篡改或销毁。
通过单个控制台,自动实时收集事件日志。
使用预定义的搜索来重点关注关键的事件数据。
使用妥善做法过滤器来有选择地仅将相关数据转发到SIEM,从而降低成本,大大减少事件干扰,并提高威胁捕获效率和有效性。
从Unix和Linux系统日志收集、存储和搜索事件
系统日志数据因应用程序的不同而存在巨大差异。 利用InTrust,您可以检测系统日志事件中的结构化数据,并正确解析这些数据。
监控用户会话活动,从登录到注销以及其间的一切活动都包括在内。
预先定义的警报可监视潜在密码喷雾(多个有效帐户多次出现失败的登录)等可疑用户活动。
自动化响应操作可以大大降低基于PowerShell的现代攻击(如哈希传递)的影响。
向特定用户及其经理发送有关其帐户潜在可疑活动(例如密码更改或多次失败的登录)的电子邮件通知。
导出内置报告,以进行故障排除和审查。
使用简单的搜索词查找与用户或对象关联的一切内容。 以人员、事件、时间、位置、对象和工作站的简单格式查看结果。
默认组件集
默认安装的组件为InTrust Deployment Manager、InTrust Server和InTrust Repository Viewer。 如果您自定义选择以安装各个组件,请参阅产品下载中提供的“InTrust系统要求”文档中所需组件的要求。 如果您使用默认选择,则组合要求如下:
x64
最少4核(例如,用于评估目的)
对于任何实际使用,建议至少8核。
最低4 GB(例如,用于评估目的)。
对于任何实际使用,建议至少8 GB。*
如果您在虚拟机上部署InTrust,请确保满足上述CPU和内存要求,并且不要使虚拟机主机过载。
COVID-19 phishing and malware attacks start on user workstations. Monitor these three logs to stop and spot these attacks: Windows security log, Sysmon log, and the PowerShell log.
Learn about the recent connection between Remote Desktop Protocol (RDP) and ransomware attacks, as well as how you can limit your exposure.
Discover how IT admins can give managers the tools they need to help overwhelmed users manage their workload in the growing remote workforce.
In recently released Update 1 for InTrust 11.4.1 there is a hidden gem – Suspicious process was started rule, it allows detection of hidden steps that ransomware and malware would do to achieve persistence, hide their tracks and disable protect...
Something really cool about honeypots and deception technology, in general, is that you can see a hacker or a penetration tester in action with very little false positive notifications. Deception also can help with detecting yet unknown threats that ...
Quest InTrust is a very powerful log management framework which also contains a lot of possible ways to notify about triggered alerts: Email alertsSCOM connector
