পড়ার সময়: 5 মিনিটএন্ডপয়েন্ট ডিটেকশন অ্যান্ড রেসপন্স (EDR) পণ্যের ইভেন্ট সংগ্রহ নিয়ে একটি দ্বিধা রয়েছে। এন্ডপয়েন্ট দ্বারা উত্পন্ন সমস্ত ইভেন্ট সংগ্রহ করার অর্থ হল এন্ডপয়েন্ট এবং নেটওয়ার্কে বাধা। কম সংগ্রহের ফলে গুরুত্বপূর্ণ ইভেন্টগুলি হারিয়ে যেতে পারে; বেশি সংগ্রহ করলে কম-কর্মক্ষমতার শেষ পয়েন্ট হতে পারে।
ক্রাউডস্ট্রাইক সহ বর্তমান ইডিআর বিক্রেতারা একটি পূর্বনির্ধারিত ইভেন্ট স্কিমা ব্যবহার করে যেখানে সকলেই তাদের এজেন্টে হার্ডকোড করা থাকে। ক্রাউডস্ট্রাইক ঘোষণা করেছে যে তারা 400টি বিভিন্ন ইভেন্ট ব্যবহার করছে (যেখানে এর একটি শতাংশ তাদের নিজস্ব এজেন্ট-নির্দিষ্ট ইভেন্ট) যা স্থির, পূর্বনির্ধারিত নিয়ম যেমন নির্দিষ্ট রেজিস্ট্রি ফাইল অবস্থানের জন্য চেক ইত্যাদি।
নিম্নলিখিত তাদের শীর্ষ ইভেন্ট বিভাগ:
- রেজিস্ট্রি ইভেন্ট
- ফাইল ইভেন্ট
- আচরণ ইভেন্ট
- ব্রাউজার ইভেন্ট
- ক্লিপবোর্ড অপারেশন
- প্রক্রিয়া ঘটনা
- নির্ধারিত টাস্ক ইভেন্ট
- সেবা ইভেন্ট
- থ্রেড ঘটনা
- পরিবেশ ভেরিয়েবল
- FW ইভেন্ট
- IOA নিয়মের ঘটনা
- NetShare ইভেন্ট
- ইউএসবি ইভেন্ট
- ইনজেকশন ইভেন্ট
- নেটওয়ার্ক ইভেন্ট
- উইন্ডোজ ইভেন্ট লগ
- এফএস ইভেন্ট
- ইভেন্ট ইনস্টল করুন
- জাভা ইভেন্ট
- কার্নেল ইভেন্ট
- মডিউল ইভেন্ট
- LSASS ইভেন্ট
- কোয়ারেন্টাইন অ্যাকশন
- Ransomware অ্যাকশন
- এসএমবি ক্লায়েন্ট ইভেন্ট
প্রতিটি বিভাগের জন্য, নির্দিষ্ট ইভেন্টগুলি তৈরি করা হয় যেমন PdfFileWritten, DmpFileWritten, DexFileWritten ইত্যাদি। কিন্তু সেগুলি সব ফাইল লেখার ক্রিয়াকলাপ যেখানে শুধুমাত্র ফাইলের ধরন পরিবর্তন করা হয়েছে। একই রেজিস্ট্রি ইভেন্ট, সার্ভিস ইভেন্ট ইত্যাদির জন্য প্রযোজ্য।
কিন্তু অজানা বা জেনেরিক ফাইল টাইপ ফাইল লেখা অপারেশন সম্পর্কে কি? শুধু একটি ঘটনা নয় কিন্তু ঘটনা সিরিজ সম্পর্কে কি? নাকি ঘটনার ফ্রিকোয়েন্সি? নাকি একই ঘটনার নিদর্শন গুরুত্বপূর্ণ? এই ধরনের ক্ষেত্রে, ক্রাউডস্ট্রাইকের মতো একটি স্ট্যাটিক ইভেন্ট মডেলের সেই নতুন APT ধরণের আক্রমণ সনাক্ত করার সুযোগ খুব সীমিত রয়েছে। আমরা ক্রাউডস্ট্রাইক ইভেন্ট মডেলটিকে "স্বাক্ষর-ভিত্তিক ইভেন্ট সংগ্রহ" হিসাবে বিবেচনা করতে পারি যা পুরানো স্বাক্ষর-ভিত্তিক AV স্ক্যানারগুলির সাথে ঘনিষ্ঠভাবে সাদৃশ্যপূর্ণ।
কমোডোর ড্রাগন এন্টারপ্রাইজ পরিচয় করিয়ে দেয় "অভিযোজিত ইভেন্ট মডেলিং" যেখানে বেস বর্ণনাকারী থেকে ঘটনা সংজ্ঞায়িত করা হয়
প্রসেস:
টোকেন:
থ্রেড:
ফাইল:
কিছু অন্যান্য বর্ণনাকারী হল:
- ব্যবহারকারী
- রেজিস্ট্রি
- স্মৃতি
- নেটওয়ার্ক
- সেবা
- পরিমাণ
- আইপি, ইত্যাদি
এবং নিম্ন-স্তরের ঘটনাগুলি (LLE) একটি প্রাথমিক কার্যকলাপের ফলে তৈরি হয়। এগুলি বিভিন্ন উপাদানের কাঁচা ঘটনাগুলির উপর ভিত্তি করে তবে ইভেন্ট উত্স এবং API-নির্দিষ্ট এবং নিয়ামক-নির্দিষ্ট ডেটা থেকে কিছু বিমূর্ততা স্তর সরবরাহ করে। উদাহরণ স্বরূপ, বিভিন্ন কন্ট্রোলার থেকে বিভিন্ন কাঁচা ইভেন্ট এবং বিভিন্ন ফিল্ডের সাথে এক প্রকারের LLE তে রূপান্তর করা যেতে পারে।
মিডল-লেভেল ইভেন্ট (MLE) হল এমন ইভেন্ট যা LLE-এর ক্রমানুসারের ফলে তৈরি হয়। কিছু উদাহরণ নীচে দেওয়া হল:
তারা সাধারণত স্থানীয় নিদর্শন মিলে উপাদান দ্বারা উত্পন্ন হয়. প্রতিটি ইভেন্ট বর্ণনাকারীর ক্ষেত্রগুলির নিজস্ব সেট রয়েছে। যাইহোক, ইভেন্টগুলির সাধারণ সাধারণ ক্ষেত্র রয়েছে।
ইভেন্ট বর্ণনাকারী নীতি মিল ব্যবহার করা হয়. নীতি শর্ত নিয়মের ক্ষেত্রগুলি অ্যাক্সেস করতে পারে এবং পূর্বনির্ধারিত মানের সাথে তাদের তুলনা করতে পারে। যাইহোক, সমস্ত ইভেন্ট ক্ষেত্র নীতি পরীক্ষা করার জন্য ব্যবহার করা যাবে না।
কিছু ক্ষেত্র স্কেলার প্রকার নয় কিন্তু জটিল প্রকার (অভিধান এবং ক্রম)। অভিধান ক্ষেত্রগুলিতে অ্যাক্সেস "" ব্যবহার করে প্রদান করা হয়। ক্রম ক্ষেত্রগুলিতে অ্যাক্সেস "[]" স্বরলিপি ব্যবহার করে প্রদান করা হয়। উদাহরণগুলি নীচে দেওয়া হল:
process.pid
process.parent.pid
process.accessMask[0]
চিত্র 1 অভিযোজিত ইভেন্ট মডেলিং নীতির উদাহরণ
ইভেন্টে যৌক্তিক বস্তু (যেমন প্রক্রিয়া, ফাইল, ব্যবহারকারী) একটি পূর্বনির্ধারিত বিন্যাস সহ অভিধান হিসাবে উপস্থাপন করা হয়। প্রতিটি বস্তুর বিন্যাস বর্ণনা করা হয়েছে, এবং যদি এটি নির্দিষ্ট করা থাকে তবে এর ক্ষেত্রগুলি নীতির মিলের জন্য ব্যবহার করা যেতে পারে। অবজেক্ট ডিসক্রিপ্টরে এমন ক্ষেত্র থাকতে পারে যা অন্যান্য অবজেক্টকে নির্দেশ করে।
চিত্র 2 প্যাটার্নস চেইনিং
এই সংজ্ঞা ব্যবহার করে, কমোডো ড্রাগন প্ল্যাটফর্ম নীতি-ভিত্তিক ইভেন্ট সংগ্রহকে সংজ্ঞায়িত করে যা শুধুমাত্র শেষ পয়েন্টেই প্রয়োগ করা যায় না, তবে প্রতিটি প্রক্রিয়া, পরিষেবা বা ব্যবহারকারীর ক্রিয়াকলাপের জন্য আলাদা হতে পারে। এর দ্বারা আমরা শুধুমাত্র ক্রাউডস্ট্রাইক সংগ্রহ করা সমস্ত কিছু সংগ্রহ করতে সক্ষম হব না, তবে এটি ঘটনার সময় অভিযোজিতও। কেন আমরা একটি বিশ্বস্ত প্রক্রিয়ার জন্য সমস্ত ফায়ার রাইটের ইভেন্ট সংগ্রহ করে পাঠাব যদি এটি এখনও ইনজেকশন না করা হয়? যদি একটি ইনজেকশন ঘটে বা একটি ভিন্ন কাঁটা হয়, ড্রাগন প্ল্যাটফর্ম সেই প্রক্রিয়াটির জন্য সমস্ত বিবরণ সংগ্রহ করা শুরু করে, বাকি প্রক্রিয়ার সংগ্রহটি স্পর্শ না করে। সেই নিম্ন-স্তরের ইভেন্টগুলিতে এখানে ইভেন্টের কিছু উদাহরণ রয়েছে যেখানে ক্রাউডস্ট্রাইক সংগ্রহ করে না:
- LLE_KEYBOARD_GLOBAL_READ
- LLE_KEYBOARD_BLOCK
- LLE_KEYBOARD_GLOBAL_WRITE
- LLE_VOLUME_LINK_CREATE
- LLE_DISK_LINK_CREATE
- LLE_DEVICE_LINK_CREATE
- LLE_VOLUME_RAW_WRITE_ACCESS
- LLE_DISK_RAW_WRITE_ACCESS
- LLE_CLIPBOARD_READ
- LLE_MICROPHONE_ENUM
- LLE_MICROPHONE_READ
- LLE_MOUSE_GLOBAL_WRITE
- LLE_MOUSE_BLOCK
- LLE_WINDOW_DATA_READ
- LLE_DESKTOP_WALLPAPER_SET
- LLE_USER_IMPERSONATION
- MLE_FILE_COPY_TO_USB
- MLE_FILE_COPY_TO_SHARE
- MLE_FILE_COPY_FROM_USB
- MLE_FILE_COPY_FROM_SHARE৷
- MLE_DANGEROUS_FILE_DOWNLOAD
- MLE_NETWORK_REQUEST_DATA_FROM_SHELL
- MLE_NETWORK_REQUEST_DATA_UNUSUAL_PORT
ড্রাগন এন্টারপ্রাইজ সমস্ত প্যাটার্ন ম্যাচিং করে গতিশীলভাবে শেষ পয়েন্টে, কী সংগ্রহ করতে হবে, কী সম্পর্কযুক্ত করতে হবে তা নিয়ন্ত্রণ করে এবং অভিযোজিত নীতি সংজ্ঞাগুলির উপর ভিত্তি করে পাঠাতে চায়।
অন্যদিকে ড্রাগন এন্টারপ্রাইজও বিশ্লেষণ করে নিজ নিজ ইভেন্টের সময় সিরিজ. আমাদের অভিযোজিত ইভেন্ট মডেলিং পদ্ধতিগত ব্যবহারকারী-প্রক্রিয়া, প্রক্রিয়া-প্রক্রিয়া, প্রক্রিয়া-সিস্টেম একীকরণ, সেইসাথে সপ্তাহের দিন এবং দিনের প্রভাব সহ ডেটাতে পর্যায়ক্রমিকতার বিভিন্ন ডিগ্রী তদন্ত করে এবং এর সম্পর্কে অনুমান করে। সনাক্ত করা ইভেন্টগুলি (যেমন, জনপ্রিয়তা বা উপস্থিতির স্তর)।
উন্নত ক্রমাগত হুমকির (এপিটি) মতো, অভ্যন্তরীণ হুমকিগুলিও EDR এর সুযোগে বিবেচনা করা উচিত। স্বতন্ত্র মানুষের সমষ্টিগত আচরণ সাধারণত বিভিন্ন স্কেলে (দৈনিক, সাপ্তাহিক, ইত্যাদি) সময়ের মধ্যে একটি পর্যায়ক্রম প্রদর্শন করে যা অন্তর্নিহিত মানুষের কার্যকলাপের ছন্দকে প্রতিফলিত করে এবং ডেটাকে অ-সমজাতীয় দেখায়। একই সময়ে, ডেটা প্রায়ই অস্বাভাবিক আচরণের বেশ কয়েকটি "বিস্ফোরণ" সময়ের দ্বারা দূষিত হয়। এই অস্বাভাবিক ঘটনাগুলি খুঁজে বের করার এবং নিষ্কাশন করার সমস্যা উভয় উপাদান দ্বারা কঠিন করা হয়েছে। ড্রাগন এন্টারপ্রাইজ এই প্রেক্ষাপটে তত্ত্বাবধানহীন শিক্ষা ব্যবহার করে, সময়-পরিবর্তনশীল প্রক্রিয়া মডেলের উপর ভিত্তি করে যা অস্বাভাবিক ঘটনার জন্যও দায়ী হতে পারে। আমরা অভিযোজিতভাবে এবং স্বায়ত্তশাসিতভাবে অস্বাভাবিক "বিস্ফোরণ" ঘটনাগুলিকে স্বাভাবিক মানুষের কার্যকলাপের চিহ্ন থেকে আলাদা করতে শিখেছি।
কমোডো ড্রাগন এন্টারপ্রাইজ বনাম ক্রাউডস্ট্রাইক সম্পর্কে আরও তথ্যের জন্য যান https://bit.ly/3fWZqyJ
শেষ বিন্দু সনাক্তকরণ এবং প্রতিক্রিয়া
পোস্টটি কমোডো ড্রাগন প্ল্যাটফর্মের অভিযোজিত ইভেন্ট মডেলিং কী এবং কেন আমরা ক্র্যাডস্ট্রাইকের চেয়ে ভাল বলে মনে করি প্রথম দেখা কমোডো সংবাদ এবং ইন্টারনেট নিরাপত্তা তথ্য.
- Coinsmart. ইউরোপের সেরা বিটকয়েন এবং ক্রিপ্টো এক্সচেঞ্জ।
- প্লেটোব্লকচেন। Web3 মেটাভার্স ইন্টেলিজেন্স। জ্ঞান প্রসারিত. বিনামূল্যে এক্সেস.
- ক্রিপ্টোহক। Altcoin রাডার। বিনামূল্যে ট্রায়াল.
- সূত্র: https://blog.comodo.com/endpoint-security/what-is-comodo-dragon-platforms-adaptive-event-modeling-and-why-its-better-than-crowdstrikes/
- a
- সম্পর্কে
- প্রবেশ
- হিসাব
- স্টক
- কার্যকলাপ
- অগ্রসর
- এজেন্ট
- সব
- ঘোষণা
- ফলিত
- APT
- উপস্থিতি
- AV
- হচ্ছে
- নিচে
- বাধা
- মামলা
- বিভাগ
- পরীক্ষণ
- চেক
- সংগ্রহ করা
- সংগ্রহ
- সংগ্রহ
- সাধারণ
- জটিল
- উপাদান
- কম্পিউটার
- শর্ত
- নিয়ন্ত্রণগুলি
- পারা
- দৈনিক
- উপাত্ত
- বর্ণিত
- বিস্তারিত
- সনাক্ত
- সনাক্তকরণ
- বিভিন্ন
- কঠিন
- প্রদর্শন
- ঘুড়ি বিশেষ
- সময়
- প্রভাব
- উপাদান
- শেষপ্রান্ত
- উদ্যোগ
- উদ্যোগ
- ইত্যাদি
- ঘটনা
- ঘটনাবলী
- সব
- উদাহরণ
- উদাহরণ
- চিত্র প্রদর্শনীতেও
- ক্ষেত্রসমূহ
- আবিষ্কার
- আগুন
- প্রথম
- অনুসরণ
- কাঁটাচামচ
- বিন্যাস
- থেকে
- এখানে
- যাহোক
- HTTPS দ্বারা
- মানবীয়
- ভাবমূর্তি
- গুরুত্বপূর্ণ
- সুদ্ধ
- স্বতন্ত্র
- তথ্য
- ভেতরের
- ইন্টিগ্রেশন
- Internet
- ইন্টারনেট নিরাপত্তা
- IT
- নিজেই
- শুধু একটি
- স্তর
- শিক্ষা
- উচ্চতা
- সীমিত
- স্থানীয়
- অবস্থানগুলি
- প্রণীত
- তৈরি করে
- ম্যাচিং
- মানে
- মডেল
- মডেল
- অধিক
- নেটওয়ার্ক
- সংবাদ
- সাধারণ
- অপারেশন
- অপারেশনস
- অন্যান্য
- নিজের
- প্যাটার্ন
- শতাংশ
- মাসিক
- মাচা
- নীতি
- জনপ্রিয়তা
- সমস্যা
- প্রক্রিয়া
- পণ্য
- প্রদান
- প্রদত্ত
- কাঁচা
- প্রতিফলিত
- অবশিষ্ট
- প্রতিনিধিত্ব
- প্রতিক্রিয়া
- নিয়ম
- একই
- নিরাপত্তা
- ক্রম
- সেবা
- সেট
- বিভিন্ন
- কিছু
- নির্দিষ্ট
- মান
- শুরু
- সার্জারির
- হুমকি
- সময়
- শীর্ষ
- ধরনের
- সাধারণত
- ব্যবহার
- সাধারণত
- বিক্রেতারা
- বনাম
- সাপ্তাহিক
- কি