Jiné produkty

Ochrana na sociálních sítích a přidání tříd infekcí systému

Úvod

Tento dokument popisuje přidání informací o podpisech do metadat, které jsou přidány ve verzi 14.0.0.

Požadavky

Požadavky související s touto funkcí:

  • Schopnost zobrazit uživateli různé informace v případě útoků souvisejících se sociálními sítěmi.

  • Schopnost spustit nástroje, jako například NPE (nebo navrhnout jejich spuštění), v systému, který aktivuje podpisy po infekci.

    To znamená provést prověřování systému v „agresivním režimu".

Provedení

Oba výše uvedené požadavky budou uskutečněny pomocí následujících změn:

Soubor XML metadat (soubor su-cr.md)

Přidejte další informace do metadat podpisu, aby bylo vyjádřeno, zda se jedná o podpis založený na ochraně na sociálních sítích nebo podpis po infekci. Ty budou přidány v podobě dvou nových uzlů jako podřízené prvky uzlu <Event>.

Soubor XML metadat aktuálně obsahuje několik uzlů, které lze použít k uvedení těchto stejných informací.

Například uzel <Category>, nebo k umístění těchto informací použijte existující bitovou masku vlastností podpisu. V případě kategorie byl však již použit způsobem, ve kterém lze pro problém/událost nastavit více než jeden uzel <Category>.

Toto provedení by nefungovalo pro uzly pouze s jednou instancí, jako například <Class> a <SubClass>. Bitová maska příznaků se používá k uvedení rozmístění podpisu při aktivaci. Její použití pro tento účel bylo tedy zamítnuto.

Z těchto důvodů bylo vhodné vytvořit celou novou sadu uzlů.

Tyto nové uzly jsou <Class> a <SubClass>. Uzel <Class> podpisu bude obsahovat informace, zda je podpis „útokem na sociálních sítích" nebo „infekcí systému". Uzel <SubClass> podpisu bude obsahovat další klasifikaci jedné třídy. „Útok na sociálních sítích" může mít například více podtříd, jako je „Like Jacking" atd.

Skutečné uzly v uzlu su-cr.md <Event> by vypadaly následovně:

<Event><Modified>2011082301</Modified><UniqueID>24014</UniqueID><State>A</State><TYPE>ACTOR_HEURISTIC</TYPE><SUB_TYPE>CONFIRMED_MALICIOUS_ACTIVITY</SUB_TYPE><SUBMIT>TRUE</SUBMIT><MANUALREMEDIATION>FALSE</MANUALREMEDIATION><EVENTRESPONSE>BLOCK</EVENTRESPONSE>......<Class Id="3">SocialNetworkAttack</Class><SubClass Id="1">LikeJacking</SubClass>......</Event>

Uzly budou pojmenovány <Class> a <SubClass> a každý uzel bude obsahovat atribut ID a název.

V souboru metadata.dat bude uložena pouze hodnota ID, hodnota názvu bude ignorována, je součástí souboru XML pro účely čitelnosti.

Každý uzel <Event> může mít pouze jednu instanci těchto uzlů.

Oba uzly jsou volitelné, což znamená, že mohou být přítomny pro některé události a pro jiné nemusí.

Uzel <SubClass> může být přítomen, pouze pokud je přítomen uzel <Class>.

Změny pracovního postupu

Pracovní postup bude vyžadovat poskytnutí uživatelského rozhraní pro účely uvedení uzlu třídy a podtřídy pro každý podpis. Může jít o rozevírací seznam s předvyplněnými hodnotami a možnostmi úprav. Každá třída a podtřída bude znázorněna nenulovým číselným ID. Hodnoa ID 0 je vyhrazena pro znázornění „nulového nastavení". To znamená, že u třídy nebo podtřídy není nastaven podpis. Nahlédněte do části Hodnoty, ve které se nachází platná třída a podtřída a jejich příslušná aktuální ID. Předpokládá se, že systémy OPs nastaví hodnoty třídy a podtřídy pro všechny podpisy, které patří do třídy „Ochrana na sociálních sítích" nebo „Infekce systému". Ostatní podpisy lze prozatím ponechat tak, jak jsou. V případě systémů OPs se také předpokládá, že rozšíří tento seznam třídy a podtřídy, jak uznají za vhodné, avšak neměla by být změněna ID aktuálního seznamu, neboť budou zobrazena produktům a nelze je změnit. Také upozorňujeme, že soubor su-cr.md bude vyžadovat uvedení ID jako atributu pro uzly <Class> a <SubClass>.

Informace o podpisu

Informace o podpisu budou obsahovat dvě další vlastnosti, a to PROPERTY_CLASSIDCLASSID a PROPERTY_SUBCLASSID. Ty budou dostupné pro dotazování prostřednictvím rozhraní SignatureInfo, a to „IIDSSignatureInfo".

Ke získání těchto dvou celých čísel DWORD lze metodu IIDSSignatureInfo::GetProperty() použít následujícím způsobem.

DWORD dwClassID = 0;DWORD dwSubClassID = 0;dwResult = poIDSSignatureInfo->GetProperty (PROPERTY_CLASSID, dwClassID);if (SYM_FAILED (dwResult)){ return;}dwResult = poIDSSignatureInfo->GetProperty (PROPERTY_SUBCLASSID, dwSubClassID);if (SYM_FAILED (dwResult)){ return;}

Další informace získáte nahlédnutím do souboru IIDSSignatureInfo.h.

Výše uvedený vzorový kód představuje pouze jeden ze způsobů získání těchto hodnot. Produkt by již měl obsahovat kód pro extrahování položek z objektu informací o podpisu.

Použití stejné logiky, avšak s hodnotami PROPERTY_CLASSID a PROPERTY_SUBCLASSID, by mělo být dostatečné.

Událost

Událost výstrahy, která je odeslána do produktu, bude aktualizována tak, aby obsahovala následující 3 pole:

SigClassID V případě, že jde o ochranu na sociálních sítích nebo infekci systému, získá produkt přístup k této hodnotě a určí, zda provést akci. Hodnota ID 0 ve skutečnosti znamená, že tato hodnota není nastavena. Vzorový kód pro extrahování hodnoty z výstrahy:

DWORD dwClassID = 0; if((pData->GetValue(<Event_Key>, dwClassID))) { // Do Something with the ClassID. }

Kde pData je cc::IKeyValueCollectionConstPtr a <Event_Key>, může jít o libovolnou z následujících hodnot:

  • IDS_EV_ALERT_DETECTED_ATTACKER_IS_LOCAL_SigClassID

  • IDS_EV_ALERT_DETECTED_ATTACKER_IS_LOCAL_NO_PORT_SigClassID

  • IDS_EV_ALERT_DETECTED_ATTACKER_IS_REMOTE_SigClassID

  • IDS_EV_ALERT_DETECTED_ATTACKER_IS_REMOTE_NO_PORT_SigClassID

Další informace najdete v souboru IDSEvents.h.

Některé hodnoty atributu ClassID jsou #definovány v souboru IIDSSignatureInfo.h. Mezi tyto hodnoty patří:

#define SIG_CLASS_NOT_SET 0#define SIG_CLASS_SOCIAL_PROTECTION 3 // The product is expected to show a different UI (URL) when this class of signaure event is passed to it.#define SIG_CLASS_SYSTEM_INFECTED 4 // The product is expected to execute NPE when this class of signature event is passed to it.#define SIG_SUBCLASS_NOT_SET 0

Produkt by měl být porovnán oproti SIG_CLASS_SOCIAL_PROTECTION a SIG_CLASS_SYSTEM_INFECTED.

Děkujeme!

Děkujeme vám za využití podpory aplikací Norton.

< Zpět

Díky tomuto řešení se mi podařilo problém snadno vyřešit.

Ano Ne

Pomozte nám toto řešení zlepšit.

Děkujeme za pomoc se zlepšováním produktů.

Co chcete udělat nyní?

Můžete procházet dostupná řešení nebo nás kontaktovat.

DOCID: v97291096_retail_cs_cz
Poslední úprava: 16. 06. 2014