पढ़ने का समय: 5 मिनटएंडपॉइंट डिटेक्शन एंड रिस्पॉन्स (ईडीआर) उत्पादों के इवेंट कलेक्शन को लेकर दुविधा है। एंडपॉइंट द्वारा उत्पन्न सभी घटनाओं को एकत्रित करने का अर्थ है एंडपॉइंट और नेटवर्क पर अड़चनें। कम संग्रह करने से महत्वपूर्ण घटनाएँ छूट सकती हैं; अधिक एकत्र करने से कम-प्रदर्शन वाले समापन बिंदु हो सकते हैं।
क्राउडस्ट्राइक सहित वर्तमान ईडीआर विक्रेता एक पूर्वनिर्धारित ईवेंट स्कीमा का उपयोग करते हैं जहां सभी उनके एजेंटों में हार्डकोडेड होते हैं। क्राउडस्ट्राइक ने घोषणा की है कि वे 400 अलग-अलग घटनाओं का उपयोग कर रहे हैं (जहां इसका एक प्रतिशत उनके स्वयं के एजेंट-विशिष्ट कार्यक्रम हैं) जो स्थिर हैं, पूर्वनिर्धारित नियमों जैसे विशिष्ट रजिस्ट्री फ़ाइल स्थानों की जांच आदि के साथ।
उनकी शीर्ष ईवेंट श्रेणियां निम्नलिखित हैं:
- रजिस्ट्री घटनाक्रम
- फ़ाइल घटनाक्रम
- व्यवहार घटनाएँ
- ब्राउज़र ईवेंट
- क्लिपबोर्ड संचालन
- प्रक्रिया घटनाएँ
- अनुसूचित कार्य घटनाएँ
- सेवा कार्यक्रम
- थ्रेड इवेंट
- पर्यावरण चर
- परिवार कल्याण घटनाएँ
- आईओए नियम घटनाक्रम
- नेटशेयर इवेंट
- यूएसबी इवेंट
- इंजेक्शन घटनाएँ
- नेटवर्क इवेंट
- विंडोज इवेंट लॉग
- एफएस घटनाएँ
- ईवेंट स्थापित करें
- जावा घटनाएँ
- कर्नेल घटनाएँ
- मॉड्यूल घटनाएँ
- एलएसएएसएस घटनाएँ
- संगरोध क्रियाएँ
- रैंसमवेयर क्रियाएँ
- एसएमबी क्लाइंट इवेंट
प्रत्येक श्रेणी के लिए, विशिष्ट ईवेंट उत्पन्न होते हैं जैसे PdfFileWritten, DmpFileWritten, DexFileWritten आदि, लेकिन वे सभी फ़ाइल लेखन ऑपरेशन हैं जहाँ केवल फ़ाइल का प्रकार बदला गया है। यही बात रजिस्ट्री आयोजनों, सेवा आयोजनों आदि पर भी लागू होती है।
लेकिन अज्ञात या सामान्य फ़ाइल प्रकार पर फ़ाइल लिखने की कार्रवाई के बारे में क्या? सिर्फ एक घटना नहीं बल्कि घटनाओं की एक श्रृंखला के बारे में क्या? या घटनाओं की आवृत्ति? या उन्हीं घटनाओं के पैटर्न जो महत्वपूर्ण हैं? ऐसे मामलों में, क्राउडस्ट्राइक जैसे स्थिर इवेंट मॉडल में उन नए एपीटी प्रकार के हमलों का पता लगाने का दायरा बहुत सीमित होता है। हम क्राउडस्ट्राइक इवेंट मॉडल को "हस्ताक्षर-आधारित इवेंट संग्रह" के रूप में मान सकते हैं जो पुराने हस्ताक्षर-आधारित एवी स्कैनर से काफी मिलता-जुलता है।
कोमोडो का ड्रैगन एंटरप्राइज पेश करता है "अनुकूली घटना मॉडलिंग" जहां घटनाओं को आधार विवरणकों से परिभाषित किया जाता है
प्रक्रिया:
टोकन:
धागा:
फ़ाइल:
कुछ अन्य वर्णनकर्ता हैं:
- उपयोगकर्ता
- रजिस्ट्री
- याद
- नेटवर्क
- सर्विस,
- मात्रा
- आईपी, आदि
और निम्न-स्तरीय घटनाएँ (एलएलई) एक प्राथमिक गतिविधि के परिणामस्वरूप उत्पन्न होती हैं। ये विभिन्न घटकों से कच्ची घटनाओं पर आधारित हैं लेकिन घटना स्रोत और एपीआई-विशिष्ट और नियंत्रक-विशिष्ट डेटा से कुछ अमूर्त परत प्रदान करते हैं। उदाहरण के लिए, अलग-अलग नियंत्रकों से और फ़ील्ड के अलग-अलग सेट के साथ अलग-अलग कच्ची घटनाओं को एक प्रकार के एलएलई में परिवर्तित किया जा सकता है।
मध्य-स्तरीय घटनाएँ (एमएलई) वे घटनाएँ हैं जो एलएलई के अनुक्रम के परिणामस्वरूप उत्पन्न होती हैं। कुछ उदाहरण नीचे दिये गये हैं:
वे आम तौर पर घटकों से मेल खाने वाले स्थानीय पैटर्न द्वारा उत्पन्न होते हैं। प्रत्येक इवेंट डिस्क्रिप्टर के पास फ़ील्ड का अपना सेट होता है। हालाँकि, घटनाओं में मानक सामान्य क्षेत्र होते हैं।
इवेंट डिस्क्रिप्टर का उपयोग नीति मिलान में किया जाता है। नीति शर्त नियमों में फ़ील्ड तक पहुंच सकती है और उनकी तुलना पूर्वनिर्धारित मानों से कर सकती है। हालाँकि, सभी इवेंट फ़ील्ड का उपयोग नीति जाँच के लिए नहीं किया जा सकता है।
कुछ क्षेत्र अदिश प्रकार के नहीं बल्कि जटिल प्रकार (शब्दकोश और अनुक्रम) के हैं। शब्दकोश फ़ील्ड तक पहुंच "।" का उपयोग करके प्रदान की जाती है। अनुक्रम फ़ील्ड तक पहुंच "[]" नोटेशन का उपयोग करके प्रदान की जाती है। उदाहरण नीचे हैं:
प्रक्रिया.पिड
प्रक्रिया.अभिभावक.पिड
प्रक्रिया.एक्सेसमास्क[0]
चित्र 1 अनुकूली घटना मॉडलिंग नीतियों का उदाहरण
घटनाओं में तार्किक वस्तुओं (जैसे प्रक्रिया, फ़ाइल, उपयोगकर्ता) को पूर्वनिर्धारित प्रारूप वाले शब्दकोशों के रूप में दर्शाया जाता है। प्रत्येक ऑब्जेक्ट का प्रारूप वर्णित है, और यदि यह निर्दिष्ट है तो इसके फ़ील्ड का उपयोग नीति मिलान के लिए किया जा सकता है। ऑब्जेक्ट डिस्क्रिप्टर में ऐसे फ़ील्ड हो सकते हैं जो अन्य ऑब्जेक्ट को संदर्भित करते हैं।
चित्र 2 पैटर्न चेनिंग
इस परिभाषा का उपयोग करते हुए, कोमोडो ड्रैगन प्लेटफ़ॉर्म नीति-आधारित ईवेंट संग्रह को परिभाषित करता है जिसे न केवल समापन बिंदु पर लागू किया जा सकता है, बल्कि प्रत्येक प्रक्रिया, सेवा या उपयोगकर्ता क्रियाओं के लिए अलग हो सकता है। इसके द्वारा हम न केवल क्राउडस्ट्राइक द्वारा एकत्र की गई सभी चीज़ों को एकत्र करने में सक्षम हैं, बल्कि यह घटनाओं के दौरान अनुकूली भी है। यदि इसे अभी तक इंजेक्ट नहीं किया जा रहा है तो हमें सभी अग्नि लेखन घटनाओं को एक विश्वसनीय प्रक्रिया के लिए एकत्र और क्यों भेजना चाहिए? यदि कोई इंजेक्शन होता है या कोई अलग कांटा होता है, तो ड्रैगन प्लेटफ़ॉर्म उस प्रक्रिया के लिए सभी विवरण एकत्र करना शुरू कर देता है, अन्य प्रक्रिया संग्रह को अछूता छोड़ देता है। उन निम्न-स्तरीय घटनाओं पर यहां उन घटनाओं के कुछ उदाहरण दिए गए हैं जहां क्राउडस्ट्राइक एकत्र नहीं होता है:
- LLE_कीबोर्ड_ग्लोबल_पढ़ें
- एलएलई_कीबोर्ड_ब्लॉक
- LLE_कीबोर्ड_ग्लोबल_लिखें
- LLE_VOLUME_LINK_CREATE
- LLE_DISK_LINK_बनाएं
- LLE_DEVICE_LINK_CREATE
- LLE_VOLUME_RAW_WRITE_ACCESS
- LLE_DISK_RAW_WRITE_ACCESS
- LLE_CLIPBOARD_पढ़ें
- LLE_MICROPHONE_ENUM
- LLE_माइक्रोफ़ोन_पढ़ें
- LLE_MOUSE_GLOBAL_WRITE
- LLE_MOUSE_ब्लॉक
- LLE_WINDOW_DATA_READ
- LLE_DESKTOP_WALLPAPER_SET
- LLE_USER_IMPERSONATION
- MLE_FILE_COPY_TO_USB
- MLE_FILE_COPY_TO_SHARE
- MLE_FILE_COPY_FROM_USB
- MLE_FILE_COPY_FROM_SHARE
- MLE_खतरनाक_फ़ाइल_डाउनलोड करें
- MLE_NETWORK_REQUEST_DATA_FROM_SHELL
- MLE_NETWORK_REQUEST_DATA_UNUSUAL_PORT
ड्रैगन एंटरप्राइज सभी पैटर्न मिलान करता है गतिशील रूप से समापन बिंदु पर, अनुकूली नीति परिभाषाओं के आधार पर नियंत्रित करता है कि क्या एकत्र करना है, क्या सहसंबंधित करना है और क्या भेजना चाहता है।
दूसरी ओर, ड्रैगन एंटरप्राइज भी विश्लेषण करता है संबंधित घटनाओं की समय श्रृंखला. हमारा एडाप्टिव इवेंट मॉडलिंग डेटा में आवधिकता की विभिन्न डिग्री की भी जांच करता है, जिसमें व्यवस्थित उपयोगकर्ता-प्रक्रिया, प्रक्रिया-प्रक्रिया, प्रक्रिया-प्रणाली एकीकरण, साथ ही सप्ताह के दिन और दिन के समय के प्रभाव शामिल हैं, और इसके बारे में अनुमान लगाता है। पता चला घटनाएँ (उदाहरण के लिए, लोकप्रियता या उपस्थिति का स्तर)।
उन्नत लगातार खतरों (एपीटी) की तरह, अंदरूनी खतरों को भी ईडीआर के दायरे में माना जाना चाहिए। व्यक्तिगत मनुष्यों का समग्र व्यवहार आम तौर पर कई पैमानों (दैनिक, साप्ताहिक, आदि) पर समय की आवधिकता प्रदर्शित करता है जो अंतर्निहित मानव गतिविधि की लय को दर्शाता है और डेटा को गैर-सजातीय दिखाई देता है। साथ ही, डेटा अक्सर असामान्य व्यवहारों की कई "विस्फोट" अवधियों से दूषित हो जाता है। इन विषम घटनाओं को खोजने और निकालने की समस्या दोनों तत्वों द्वारा कठिन बना दी गई है। ड्रैगन एंटरप्राइजेज इस संदर्भ में समय-अलग-अलग प्रक्रिया मॉडल के आधार पर बिना पर्यवेक्षित शिक्षण का उपयोग करता है, जो असामान्य घटनाओं के लिए भी जिम्मेदार हो सकता है। हमने सामान्य मानव गतिविधि के निशानों से असामान्य "विस्फोट" घटनाओं को अलग करने के लिए अनुकूली और स्वायत्त रूप से सीख उत्पन्न की।
कोमोडो ड्रैगन एंटरप्राइज बनाम क्राउडस्ट्राइक के बारे में अधिक जानकारी के लिए देखें https://bit.ly/3fWZqyJ
एंडपॉइंट डिटेक्शन एंड रिस्पांस
पोस्ट कोमोडो ड्रैगन प्लेटफ़ॉर्म का अनुकूली ईवेंट मॉडलिंग क्या है और क्यों हम सोचते हैं कि क्राउडस्ट्राइक की तुलना में यह बेहतर है पर पहली बार दिखाई दिया कोमोडो न्यूज और इंटरनेट सुरक्षा सूचना.
- कॉइनस्मार्ट। यूरोप का सर्वश्रेष्ठ बिटकॉइन और क्रिप्टो एक्सचेंज।
- प्लेटोब्लॉकचैन। Web3 मेटावर्स इंटेलिजेंस। ज्ञान प्रवर्धित। नि: शुल्क प्रवेश।
- क्रिप्टोहॉक। Altcoin रडार। मुफ्त परीक्षण।
- स्रोत: https://blog.comodo.com/endpoint-security/what-is-comodo-dragon-platforms-adaptive-event-modeling-and-why-its-better-than-crowdstrikes/
- a
- About
- पहुँच
- लेखा
- कार्रवाई
- गतिविधि
- उन्नत
- एजेंटों
- सब
- की घोषणा
- लागू
- APT
- उपस्थिति
- AV
- जा रहा है
- नीचे
- खंड
- मामलों
- वर्ग
- जाँच
- जाँचता
- इकट्ठा
- एकत्रित
- संग्रह
- सामान्य
- जटिल
- घटकों
- कंप्यूटर
- शर्त
- नियंत्रण
- सका
- दैनिक
- तिथि
- वर्णित
- विवरण
- पता चला
- खोज
- विभिन्न
- मुश्किल
- डिस्प्ले
- अजगर
- दौरान
- प्रभाव
- तत्व
- endpoint
- उद्यम
- उद्यम
- आदि
- कार्यक्रम
- घटनाओं
- सब कुछ
- उदाहरण
- उदाहरण
- प्रदर्श
- फ़ील्ड
- खोज
- आग
- प्रथम
- निम्नलिखित
- कांटा
- प्रारूप
- से
- यहाँ उत्पन्न करें
- तथापि
- HTTPS
- मानव
- की छवि
- महत्वपूर्ण
- सहित
- व्यक्ति
- करें-
- अंदरूनी सूत्र
- एकीकरण
- इंटरनेट
- इंटरनेट सुरक्षा
- IT
- खुद
- सिर्फ एक
- परत
- सीख रहा हूँ
- स्तर
- सीमित
- स्थानीय
- स्थानों
- बनाया गया
- बनाता है
- मिलान
- साधन
- आदर्श
- मॉडल
- अधिक
- नेटवर्क
- समाचार
- साधारण
- आपरेशन
- संचालन
- अन्य
- अपना
- पैटर्न
- प्रतिशत
- अवधि
- मंच
- नीति
- लोकप्रियता
- मुसीबत
- प्रक्रिया
- उत्पाद
- प्रदान करना
- बशर्ते
- कच्चा
- दर्शाता है
- शेष
- प्रतिनिधित्व
- प्रतिक्रिया
- नियम
- वही
- सुरक्षा
- कई
- सेवा
- सेट
- कई
- कुछ
- विशिष्ट
- मानक
- शुरू होता है
- RSI
- धमकी
- पहर
- ऊपर का
- प्रकार
- आम तौर पर
- उपयोग
- आमतौर पर
- विक्रेताओं
- बनाम
- साप्ताहिक
- क्या
- एचएमबी क्या है?