Lugemisaeg: 5 protokollEndpoint Detection and Response (EDR) toodete sündmuste kogumisel on dilemma. Kõigi lõpp-punktide genereeritud sündmuste kogumine tähendab lõpp-punktis ja võrgus kitsaskohti. Kui kogute vähem, võite olulistest sündmustest ilma jääda; rohkem kogumine võib põhjustada madala jõudlusega lõpp-punkte.
Praegused EDR-i müüjad, sealhulgas Crowdstrike, kasutavad eelmääratletud sündmuste skeemi, kus kõik on nende agentides kõvakodeeritud. Crowdstrike teatab, et nad kasutavad 400 erinevat sündmust (kus protsent sellest on nende enda agent-spetsiifilised sündmused), mis on staatilised ja eelmääratletud reeglitega, nagu näiteks konkreetsete registrifailide asukohtade kontrollimine jne.
Järgmised on nende parimad sündmuste kategooriad:
- Registriüritused
- Fail Sündmused
- Käitumise sündmused
- Brauseri sündmused
- Lõikelaua toimingud
- Protsessi sündmusi
- Plaanitud ülesannete sündmused
- Teenindusüritused
- Lõim sündmused
- Keskkonna muutujad
- FW sündmused
- IOA reeglid, sündmused
- NetShare'i sündmused
- USB sündmused
- Süstimise sündmused
- Võrgusündmused
- Windowsi sündmuste logi
- FS sündmused
- Installi sündmused
- Java sündmused
- Kerneli sündmused
- Mooduli sündmused
- LSASS sündmused
- Karantiini toimingud
- Lunavara toimingud
- SMB kliendi sündmused
Iga kategooria jaoks genereeritakse konkreetsed sündmused, nagu PdfFileWritten, DmpFileWritten, DexFileWritten jne, kuid need on kõik faili kirjutamistoimingud, mille puhul on muudetud ainult faili tüüpi. Sama kehtib registrisündmuste, teenindusürituste jms kohta.
Aga kuidas on lood faili kirjutamise operatsiooniga tundmatusse või üldisesse failitüüpi? Aga mitte ainult üks sündmus, vaid sündmuste seeria? Või sündmuste sagedus? Või samade sündmuste mustrid, mis on olulised? Sellistel juhtudel on sellisel staatilisel sündmusemudelil nagu Crowdstrike's väga piiratud ulatus nende uut tüüpi APT rünnakute tuvastamiseks. Crowdstrike'i sündmuste mudelit võib pidada "allkirjapõhiseks sündmuste kogumiseks", mis sarnaneb väga vanade signatuuripõhiste AV-skanneritega.
Comodo's Dragon Enterprise tutvustab "Adaptiivne sündmuste modelleerimine" kus sündmused on määratletud selliste baaskirjelduste alusel nagu
Protsess:
Märk:
Teema:
File:
Mõned muud kirjeldused on järgmised:
- Kasutaja
- registri
- Mälu
- võrk
- Teenindus
- maht,
- IP jne.
ja madala taseme sündmused (LLE) genereeritakse ühe elementaarse tegevuse tulemusena. Need põhinevad erinevate komponentide töötlemata sündmustel, kuid pakuvad sündmuste allikast ja API-spetsiifilistest ja kontrollerispetsiifilistest andmetest teatud abstraktsioonikihti. Näiteks saab eri kontrolleritelt ja erineva väljakomplektiga erinevaid töötlemata sündmusi teisendada ühte tüüpi LLE-ks.
Kesktaseme sündmused (MLE) on sündmused, mis genereeritakse LLE jada tulemusena. Mõned näited on toodud allpool:
Need on tavaliselt loodud kohalike mustritega, mis vastavad komponentidele. Igal sündmuse deskriptoril on oma väljade komplekt. Sündmustel on aga standardsed ühised väljad.
Eeskirjade sobitamisel kasutatakse sündmuse deskriptorit. Reegel pääseb juurde tingimusreeglite väljadele ja võrdleb neid eelmääratletud väärtustega. Siiski ei saa poliitika kontrollimiseks kasutada kõiki sündmusevälju.
Mõned väljad pole skalaarset tüüpi, vaid komplekstüüpi (sõnastikud ja jadad). Juurdepääs sõnastiku väljadele on saadaval "." abil. Juurdepääs jadaväljadele on tagatud kasutades "[]" tähistust. Näited on allpool:
protsess.pid
protsess.parent.pid
process.accessMask[0]
Joonis 1 Adaptiivse sündmuste modelleerimise poliitika näide
Sündmuste loogilised objektid (nt protsess, fail, kasutaja) on esitatud eelmääratletud vormingus sõnastikena. Iga objekti vorming on kirjeldatud ja selle välju saab kasutada poliitika sobitamiseks, kui see on määratud. Objekti deskriptor võib sisaldada välju, mis viitavad teistele objektidele.
Joonis 2 Mustrite aheldamine
Seda määratlust kasutades määratleb Comodo Dragon Platform poliitikapõhise sündmuste kogumise, mida saab rakendada mitte ainult lõpp-punktile endale, vaid see võib olla erinev iga protsessi, teenuse või kasutaja toimingute puhul. Nii ei saa me mitte ainult koguda kõike, mida Crowdstrike kogub, vaid see on ka vahejuhtumite ajal kohanemisvõimeline. Miks peaksime koguma ja saatma kõik tulekahju kirjutamise sündmused usaldusväärse protsessi jaoks, kui seda veel ei süstita? Kui toimub süstimine või juhtub mõni muu kahvel, alustab Dragon Platform selle protsessi üksikasjade kogumist, jättes teise protsessikogu puutumata. Nende madala tasemega sündmuste kohta on siin mõned näited sündmustest, mida Crowdstrike ei kogu:
- LLE_KEYBOARD_GLOBAL_READ
- LLE_KEYBOARD_BLOCK
- LLE_KEYBOARD_GLOBAL_WRITE
- LLE_VOLUME_LINK_CREATE
- LLE_DISK_LINK_CREATE
- LLE_DEVICE_LINK_CREATE
- LLE_VOLUME_RAW_WRITE_ACCESS
- LLE_DISK_RAW_WRITE_ACCESS
- LLE_CLIPBOARD_READ
- LLE_MICROPHONE_ENUM
- LLE_MICROPHONE_READ
- LLE_MOUSE_GLOBAL_WRITE
- LLE_MOUSE_BLOCK
- LLE_WINDOW_DATA_READ
- LLE_DESKTOP_WALLPAPER_SET
- LLE_USER_IMPERSONATION
- MLE_FILE_COPY_TO_USB
- MLE_FILE_COPY_TO_SHARE
- MLE_FILE_COPY_FROM_USB
- MLE_FILE_COPY_FROM_SHARE
- MLE_DANGEROUS_FILE_DOWNLOAD
- MLE_NETWORK_REQUEST_DATA_FROM_SHELL
- MLE_NETWORK_REQUEST_DATA_UNUSUAL_PORT
Dragon Enterprise teeb kogu mustrite sobitamise dünaamiliselt lõpp-punktis, juhib seda, mida koguda, mida seostada, ja soovib saata kohanemispoliitika määratluste alusel.
Teisest küljest analüüsib Dragon Enterprise ka vastavate sündmuste aegrida. Meie adaptiivne sündmuste modelleerimine uurib ka andmete erinevat perioodilisust, sealhulgas süstemaatilist kasutajaprotsessi, protsessi protsessi, protsessi ja süsteemi integreerimist, aga ka nädalapäeva ja kellaaja mõjusid ning teeb järeldusi tuvastatud sündmused (nt populaarsus või külastatavus).
Sarnaselt täiustatud püsivatele ohtudele (APT) tuleks EDR-i kohaldamisalas arvesse võtta ka siseringi ohte. Üksikute inimeste koondkäitumine näitab tavaliselt ajas perioodilisust mitmel skaalal (igapäevane, iganädalane jne), mis peegeldab inimtegevuse aluseks olevaid rütme ja muudab andmed ebahomogeenseks. Samal ajal on andmed sageli rikutud mitme ebatavalise käitumise perioodi tõttu. Nende anomaalsete sündmuste leidmise ja eraldamise probleemi muudavad keeruliseks mõlemad elemendid. Dragon Enterprises kasutab selles kontekstis järelevalveta õppimist, mis põhineb ajas muutuvatel protsessimudelitel, mis võivad samuti arvesse võtta anomaalseid sündmusi. Õppisime adaptiivselt ja autonoomselt eraldama ebatavalisi "purske" sündmusi normaalse inimtegevuse jälgedest.
Comodo Dragon Enterprise'i ja Crowdstrike'i kohta lisateabe saamiseks külastage https://bit.ly/3fWZqyJ
Lõpp-punkti tuvastamine ja sellele reageerimine
Postitus Mis on Comodo Dragon Platformi adaptiivne sündmuste modelleerimine ja miks me arvame, et see on parem kui Crowdstrike ilmus esmalt Comodo uudised ja Interneti-turvalisuse teave.
- Münditark. Euroopa parim Bitcoini ja krüptobörs.
- Platoblockchain. Web3 metaversiooni intelligentsus. Täiustatud teadmised. TASUTA PÄÄS.
- CryptoHawk. Altcoini radar. Tasuta prooviversioon.
- Allikas: https://blog.comodo.com/endpoint-security/what-is-comodo-dragon-platforms-adaptive-event-modeling-and-why-its-better-than-crowdstrikes/
- a
- MEIST
- juurdepääs
- konto
- meetmete
- tegevus
- edasijõudnud
- ained
- Materjal: BPA ja flataatide vaba plastik
- teatab
- rakendatud
- APT
- käimine
- AV
- on
- alla
- Blokeerima
- juhtudel
- Kategooria
- kontroll
- Kontroll
- koguma
- Kollektsioneerimine
- kogumine
- ühine
- keeruline
- komponendid
- arvuti
- seisund
- kontrolli
- võiks
- iga päev
- andmed
- kirjeldatud
- detailid
- tuvastatud
- Detection
- erinev
- raske
- Ekraan
- draakon
- ajal
- mõju
- elemendid
- Lõpp-punkt
- ettevõte
- ettevõtete
- jms
- sündmus
- sündmused
- kõik
- näide
- näited
- eksponaadid
- Valdkonnad
- leidmine
- Tulekahju
- esimene
- Järel
- kahvel
- formaat
- Alates
- siin
- aga
- HTTPS
- inim-
- pilt
- oluline
- Kaasa arvatud
- eraldi
- info
- Insider
- integratsioon
- Internet
- Internet Security
- IT
- ise
- ainult üks
- kiht
- õppimine
- Tase
- piiratud
- kohalik
- kohad
- tehtud
- TEEB
- sobitamine
- vahendid
- mudel
- mudelid
- rohkem
- võrk
- uudised
- normaalne
- töö
- Operations
- Muu
- enda
- Muster
- protsent
- perioodid
- inimesele
- poliitika
- populaarsus
- Probleem
- protsess
- Toodet
- anda
- tingimusel
- Töötlemata
- peegeldab
- ülejäänud
- esindatud
- vastus
- eeskirjade
- sama
- turvalisus
- Seeria
- teenus
- komplekt
- mitu
- mõned
- konkreetse
- standard
- algab
- .
- ähvardused
- aeg
- ülemine
- liigid
- tüüpiliselt
- kasutama
- tavaliselt
- müüjad
- Versus
- iga nädal
- M
- Mis on