Χρόνος διαβασματός: 5 πρακτικάΥπάρχει ένα δίλημμα σχετικά με τη συλλογή συμβάντων προϊόντων ανίχνευσης και απόκρισης τελικού σημείου (EDR). Η συλλογή όλων των συμβάντων που δημιουργούνται από τα τελικά σημεία σημαίνει συμφόρηση στο τελικό σημείο και στο δίκτυο. Η συλλογή λιγότερων μπορεί να έχει ως αποτέλεσμα την απώλεια σημαντικών γεγονότων. Η συλλογή περισσότερων θα μπορούσε να οδηγήσει σε τελικά σημεία χαμηλής απόδοσης.
Οι τρέχοντες προμηθευτές EDR, συμπεριλαμβανομένου του Crowdstrike, χρησιμοποιούν ένα προκαθορισμένο σχήμα συμβάντων όπου όλα είναι κωδικοποιημένα στους πράκτορες τους. Το Crowdstrike ανακοινώνει ότι χρησιμοποιεί 400 διαφορετικά συμβάντα (όπου ένα ποσοστό από αυτά είναι συμβάντα ειδικά για τους ίδιους τους πράκτορες) που είναι στατικά, με προκαθορισμένους κανόνες, όπως ελέγχους για συγκεκριμένες τοποθεσίες αρχείων μητρώου κ.λπ.
Ακολουθούν οι κορυφαίες κατηγορίες εκδηλώσεών τους:
- Μητρώο συμβάντων
- Αρχείο συμβάντων
- Συμβάντα Συμπεριφοράς
- Εκδηλώσεις προγράμματος περιήγησης
- Λειτουργίες Πρόχειρου
- Διαδικασία συμβάντων
- Προγραμματισμένες εκδηλώσεις εργασιών
- Εκδηλώσεις εξυπηρέτησης
- Συμβάντα νήματος
- Μεταβλητές περιβάλλοντος
- Εκδηλώσεις FW
- Εκδηλώσεις κανόνων IOA
- Εκδηλώσεις NetShare
- Εκδηλώσεις USB
- Συμβάντα ένεσης
- Εκδηλώσεις δικτύου
- Αρχείο καταγραφής συμβάντων των Windows
- Εκδηλώσεις FS
- Εγκατάσταση συμβάντων
- Εκδηλώσεις Java
- Εκδηλώσεις πυρήνα
- Εκδηλώσεις ενότητας
- Εκδηλώσεις LSASS
- Δράσεις Καραντίνας
- Ενέργειες Ransomware
- Εκδηλώσεις πελατών SMB
Για κάθε κατηγορία, δημιουργούνται συγκεκριμένα συμβάντα όπως PdfFileWritten, DmpFileWritten, DexFileWritten κ.λπ., αλλά όλα αυτά είναι λειτουργίες εγγραφής αρχείων όπου έχει αλλάξει μόνο ο τύπος του αρχείου. Το ίδιο ισχύει για συμβάντα μητρώου, συμβάντα υπηρεσίας κ.λπ.
Τι γίνεται όμως με τη λειτουργία εγγραφής αρχείου σε άγνωστο ή γενικό τύπο αρχείου; Τι γίνεται με όχι μόνο μια εκδήλωση αλλά μια σειρά εκδηλώσεων; Ή συχνότητα γεγονότων; Ή μοτίβα των ίδιων γεγονότων που είναι σημαντικά; Σε τέτοιες περιπτώσεις, ένα στατικό μοντέλο συμβάντων όπως το Crowdstrike's έχει πολύ περιορισμένο εύρος ανίχνευσης αυτών των νέων επιθέσεων τύπου APT. Μπορούμε να θεωρήσουμε το μοντέλο συμβάντων Crowdstrike ως «συλλογή συμβάντων με βάση την υπογραφή» που μοιάζει πολύ με τους παλιούς σαρωτές AV που βασίζονται σε υπογραφές.
Η Comodo's Dragon Enterprise παρουσιάζει “Adaptive Event Modelling” όπου τα γεγονότα ορίζονται από βασικούς περιγραφείς όπως
Διαδικασία:
Διακριτικό:
Νήμα:
Αρχείο:
Μερικοί άλλοι περιγραφείς είναι:
- Χρήστες
- μητρώου
- Μνήμη
- Δίκτυο
- υπηρεσία,
- Ενταση ΗΧΟΥ,
- IP, κ.λπ.
και τα συμβάντα χαμηλού επιπέδου (LLE) δημιουργούνται ως αποτέλεσμα μιας στοιχειώδους δραστηριότητας. Αυτά βασίζονται σε πρωτογενή συμβάντα από διαφορετικά στοιχεία, αλλά παρέχουν κάποιο επίπεδο αφαίρεσης από την πηγή συμβάντος και δεδομένα ειδικά για API και ελεγκτή. Για παράδειγμα, διαφορετικά συμβάντα πρωτογενών από διαφορετικούς ελεγκτές και με διαφορετικό σύνολο πεδίων μπορούν να μετατραπούν σε LLE ενός τύπου.
Τα συμβάντα μεσαίου επιπέδου (MLE) είναι συμβάντα που δημιουργούνται ως αποτέλεσμα μιας ακολουθίας LLE. Μερικά παραδείγματα δίνονται παρακάτω:
Συνήθως δημιουργούνται από τοπικά μοτίβα που ταιριάζουν με στοιχεία. Κάθε περιγραφέας συμβάντος έχει το δικό του σύνολο πεδίων. Ωστόσο, τα γεγονότα έχουν τυπικά κοινά πεδία.
Ο περιγραφέας συμβάντος χρησιμοποιείται στην αντιστοίχιση πολιτικής. Η πολιτική μπορεί να έχει πρόσβαση στα πεδία των κανόνων συνθήκης και να τα συγκρίνει με προκαθορισμένες τιμές. Ωστόσο, δεν μπορούν να χρησιμοποιηθούν όλα τα πεδία συμβάντων για έλεγχο πολιτικής.
Ορισμένα πεδία δεν είναι βαθμωτοί τύποι αλλά σύνθετοι τύποι (λεξικά και ακολουθίες). Η πρόσβαση στα πεδία του λεξικού παρέχεται χρησιμοποιώντας το «.». Η πρόσβαση στα πεδία ακολουθίας παρέχεται χρησιμοποιώντας τη σημείωση «[]». Τα παραδείγματα είναι παρακάτω:
διαδικασία.pid
διεργασία.γονέας.pid
process.accessMask[0]
Εικόνα 1 Παράδειγμα προσαρμοστικών πολιτικών μοντελοποίησης συμβάντων
Τα λογικά αντικείμενα (όπως Διεργασία, Αρχείο, Χρήστης) στα συμβάντα αναπαρίστανται ως λεξικά με προκαθορισμένη μορφή. Η μορφή κάθε αντικειμένου περιγράφεται και τα πεδία του μπορούν να χρησιμοποιηθούν για αντιστοίχιση πολιτικών, εάν έχει καθοριστεί. Ο περιγραφέας αντικειμένου μπορεί να περιέχει πεδία που αναφέρονται σε άλλα αντικείμενα.
Εικόνα 2 Αλυσίδα μοτίβων
Χρησιμοποιώντας αυτόν τον ορισμό, η πλατφόρμα Comodo Dragon καθορίζει τη συλλογή συμβάντων που βασίζεται σε πολιτικές που μπορεί να εφαρμοστεί όχι μόνο στο ίδιο το τελικό σημείο, αλλά μπορεί να είναι διαφορετική για κάθε διαδικασία, υπηρεσία ή ενέργεια χρήστη. Με αυτό όχι μόνο μπορούμε να συλλέξουμε όλα όσα συλλέγει το Crowdstrike, αλλά είναι επίσης προσαρμοστικό κατά τη διάρκεια των περιστατικών. Γιατί πρέπει να συλλέξουμε και να στείλουμε όλα τα συμβάντα εγγραφής πυρκαγιάς για μια αξιόπιστη διαδικασία εάν δεν έχει γίνει ακόμη έγχυση; Εάν συμβεί μια έγχυση ή συμβεί ένα διαφορετικό πιρούνι, το Dragon Platform ξεκινά τη συλλογή όλων των λεπτομερειών για αυτήν τη διαδικασία, παραμένοντας ανέγγιχτη την άλλη συλλογή διεργασιών. Σε αυτές τις εκδηλώσεις χαμηλού επιπέδου, ακολουθούν ορισμένα παραδείγματα συμβάντων όπου το Crowdstrike δεν συλλέγει:
- LLE_KEYBOARD_GLOBAL_READ
- LLE_KEYBOARD_BLOCK
- LLE_KEYBOARD_GLOBAL_WRITE
- LLE_VOLUME_LINK_CREATE
- LLE_DISK_LINK_CREATE
- LLE_DEVICE_LINK_CREATE
- LLE_VOLUME_RAW_WRITE_ACCESS
- LLE_DISK_RAW_WRITE_ACCESS
- LLE_CLIPBOARD_READ
- LLE_MICROPHONE_ENUM
- LLE_MICROPHONE_READ
- LLE_MOUSE_GLOBAL_WRITE
- LLE_MOUSE_BLOCK
- LLE_WINDOW_DATA_READ
- LLE_DESKTOP_WALLPAPER_SET
- LLE_USER_IMPERSONATION
- MLE_FILE_COPY_TO_USB
- MLE_FILE_COPY_TO_SHARE
- MLE_FILE_COPY_FROM_USB
- MLE_FILE_COPY_FROM_SHARE
- MLE_DANGEROUS_FILE_DOWNLOAD
- MLE_NETWORK_REQUEST_DATA_FROM_SHELL
- MLE_NETWORK_REQUEST_DATA_UNUSUAL_PORT
Το Dragon Enterprise κάνει όλη την αντιστοίχιση μοτίβων δυναμικά στο τελικό σημείο, ελέγχει τι να συλλέξει, τι να συσχετίσει και θέλει να στείλει με βάση τους προσαρμοστικούς ορισμούς πολιτικής.
Από την άλλη, το Dragon Enterprise αναλύει επίσης το χρονοσειρές των αντίστοιχων γεγονότων. Η προσαρμοστική μοντελοποίηση συμβάντων μας διερευνά επίσης διαφορετικούς βαθμούς περιοδικότητας στα δεδομένα, συμπεριλαμβανομένης της συστηματικής διαδικασίας χρήστη, διαδικασίας-διεργασίας, ενοποίησης διεργασιών-συστήματος, καθώς και εφέ της ημέρας και της ώρας της ημέρας, και εξάγει συμπεράσματα σχετικά με εντοπισμένα συμβάντα (π.χ. δημοτικότητα ή επίπεδο προσέλευσης).
Όπως οι προηγμένες επίμονες απειλές (APT), οι εσωτερικές απειλές θα πρέπει επίσης να λαμβάνονται υπόψη στο πεδίο εφαρμογής της EDR. Η αθροιστική συμπεριφορά μεμονωμένων ανθρώπινων όντων τυπικά παρουσιάζει μια περιοδικότητα στο χρόνο σε διάφορες κλίμακες (ημερήσια, εβδομαδιαία, κ.λπ.) που αντανακλά τους ρυθμούς της υποκείμενης ανθρώπινης δραστηριότητας και κάνει τα δεδομένα να φαίνονται μη ομοιογενή. Ταυτόχρονα, τα δεδομένα συχνά αλλοιώνονται από αρκετές περιόδους «έκρηξης» ασυνήθιστων συμπεριφορών. Το πρόβλημα της εύρεσης και εξαγωγής αυτών των ανώμαλων γεγονότων καθίσταται δύσκολο και από τα δύο στοιχεία. Το Dragon Enterprises χρησιμοποιεί μάθηση χωρίς επίβλεψη σε αυτό το πλαίσιο, με βάση μοντέλα διαδικασιών που μεταβάλλονται χρονικά, τα οποία μπορούν επίσης να εξηγήσουν ανώμαλα συμβάντα. Δημιουργήσαμε προσαρμοστικά και αυτόνομα εκμάθηση να διαχωρίζουμε ασυνήθιστα γεγονότα «έκρηξης» από ίχνη κανονικής ανθρώπινης δραστηριότητας.
Για περισσότερες πληροφορίες σχετικά με το Comodo Dragon Enterprise έναντι του Crowdstrike, επισκεφθείτε https://bit.ly/3fWZqyJ
Διαχείριση υπολογιστών πληροφορικής
Ανίχνευση και απόκριση τελικού σημείου
Ο ορθοστάτης Τι είναι το Adaptive Event Modeling της Comodo Dragon Platform και γιατί πιστεύουμε ότι είναι καλύτερο από το Crowdstrike εμφανίστηκε για πρώτη φορά σε Comodo Ειδήσεις και Πληροφορίες Ασφάλειας Διαδικτύου.
- Coinsmart. Το καλύτερο ανταλλακτήριο Bitcoin και Crypto στην Ευρώπη.
- Platoblockchain. Web3 Metaverse Intelligence. Ενισχύθηκε η γνώση. ΕΛΕΥΘΕΡΗ ΠΡΟΣΒΑΣΗ.
- CryptoHawk. Ραντάρ Altcoin. Δωρεάν δοκιμή.
- Πηγή: https://blog.comodo.com/endpoint-security/what-is-comodo-dragon-platforms-adaptive-event-modeling-and-why-its-better-than-crowdstrikes/
- a
- Σχετικά
- πρόσβαση
- Λογαριασμός
- ενεργειών
- δραστηριότητα
- προηγμένες
- παράγοντες
- Όλα
- ανακοινώνει
- εφαρμοσμένος
- APT
- παρουσία
- AV
- είναι
- παρακάτω
- Αποκλεισμός
- περιπτώσεις
- κατηγορία
- έλεγχος
- έλεγχοι
- συλλέγουν
- Συλλέγοντας
- συλλογή
- Κοινός
- συγκρότημα
- εξαρτήματα
- υπολογιστή
- κατάσταση
- ελέγχους
- θα μπορούσε να
- καθημερινά
- ημερομηνία
- περιγράφεται
- καθέκαστα
- εντοπιστεί
- Ανίχνευση
- διαφορετικές
- δύσκολος
- Display
- Δράκων
- κατά την διάρκεια
- αποτελέσματα
- στοιχεία
- Τελικό σημείο
- Εταιρεία
- επιχειρήσεις
- κ.λπ.
- Συμβάν
- εκδηλώσεις
- πάντα
- παράδειγμα
- παραδείγματα
- εκθέματα
- Πεδία
- εύρεση
- Φωτιά
- Όνομα
- Εξής
- πιρούνι
- μορφή
- από
- εδώ
- Ωστόσο
- HTTPS
- ανθρώπινος
- εικόνα
- σημαντικό
- Συμπεριλαμβανομένου
- ατομικές
- πληροφορίες
- Πρόσωπα
- ολοκλήρωση
- Internet
- Ασφάλεια στο Διαδίκτυο
- IT
- εαυτό
- μόνο ένα
- στρώμα
- μάθηση
- Επίπεδο
- Περιωρισμένος
- τοπικός
- θέσεις
- που
- ΚΑΝΕΙ
- ταιριάζουν
- μέσα
- μοντέλο
- μοντέλα
- περισσότερο
- δίκτυο
- νέα
- κανονικός
- λειτουργία
- λειτουργίες
- ΑΛΛΑ
- δική
- πρότυπο
- τοις εκατό
- έμμηνα
- πλατφόρμες
- πολιτική
- δημοτικότητα
- Πρόβλημα
- διαδικασια μας
- Προϊόντα
- παρέχουν
- παρέχεται
- Ακατέργαστος
- αντικατοπτρίζει
- υπόλοιπα
- εκπροσωπούνται
- απάντησης
- κανόνες
- ίδιο
- ασφάλεια
- Σειρές
- υπηρεσία
- σειρά
- διάφοροι
- μερικοί
- συγκεκριμένες
- πρότυπο
- ξεκινά
- Η
- απειλές
- ώρα
- κορυφή
- τύποι
- συνήθως
- χρήση
- συνήθως
- πωλητές
- Εναντίον
- εβδομαδιαίος
- Τι
- Τι είναι