זמן קריאה: 5 דקות
יש דילמה לגבי אוסף אירועים של מוצרי זיהוי ותגובה של נקודות קצה (EDR). איסוף כל האירועים שנוצרו על ידי נקודות קצה פירושו צווארי בקבוק בנקודת הקצה וברשת. איסוף פחות עלול לגרום להחמצת אירועים חשובים; איסוף נוסף עלול לגרום לנקודות קצה בעלות ביצועים נמוכים.
נוֹכְחִי EDR ספקים כולל Crowdstrike משתמשים בסכימת אירועים מוגדרת מראש שבה כולם מקודדים בקשיחים בסוכנים שלהם. Crowdstrike מכריזים שהם משתמשים ב-400 אירועים שונים (כאשר אחוז מהם הם אירועים ספציפיים לסוכן שלהם) שהם סטטיים, עם כללים מוגדרים מראש כמו בדיקות למיקומי קבצי רישום ספציפיים וכו'.
להלן קטגוריות האירועים המובילות שלהם:
- אירועי רישום
- קובץ אירועים
- אירועי התנהגות
- אירועי דפדפן
- פעולות הלוח
- עיבוד אירועים
- אירועי משימות מתוזמנים
- אירועי שירות
- שרשור אירועים
- משתני סביבה
- FW אירועים
- אירועי חוקי IOA
- אירועי NetShare
- אירועי USB
- אירועי הזרקה
- אירועי רשת
- יומן האירועים של Windows
- אירועי FS
- התקן אירועים
- אירועי Java
- קרנל אירועים
- אירועי מודול
- אירועי LSASS
- פעולות הסגר
- פעולות כופר
- אירועי לקוח SMB
עבור כל קטגוריה נוצרים אירועים ספציפיים כמו PdfFileWritten, DmpFileWritten, DexFileWritten וכו', אבל כל אלה הן פעולות כתיבת קבצים שבהן רק סוג הקובץ שונה. כנ"ל לגבי אירועי רישום, אירועי שירות וכו'.
אבל מה לגבי פעולת כתיבת קובץ לסוג קובץ לא ידוע או גנרי? מה לגבי לא רק אירוע אחד אלא סדרה של אירועים? או תדירות אירועים? או דפוסים של אותם אירועים שהם חשובים? במקרים כאלה, למודל אירוע סטטי כמו של Crowdstrike יש היקף מוגבל מאוד לזהות את התקפות מסוג APT החדשות האלה. אנו יכולים להתייחס למודל אירועי Crowdstrike כ"אוסף אירועים מבוסס חתימה" הדומה מאוד לסורקי AV מבוססי חתימה ישנים.
חברת Dragon Enterprise של קומודו מציגה "דוגמנות אירועים אדפטיביים" שבו אירועים מוגדרים מתארי בסיס כמו
תהליך:
אסימון:
פְּתִיל:
קובץ:
כמה מתארים אחרים הם:
- משתמש
- רישום
- זכרון
- רשת
- שֵׁרוּת,
- נפח,
- IP וכו'.
והאירועים ברמה נמוכה (LLE) נוצרים כתוצאה מפעילות יסודית אחת. אלה מבוססים על אירועים גולמיים ממרכיבים שונים אך מספקים שכבת הפשטה כלשהי ממקור אירועים ונתונים ספציפיים ל-API ובקר ספציפי. לדוגמה, ניתן להמיר אירועים גולמיים שונים מבקרים שונים ועם סט שונה של שדות ל-LLE מסוג אחד.
האירועים ברמה האמצעית (MLE) הם אירועים שנוצרים כתוצאה מרצף של LLE. להלן כמה דוגמאות:
הם נוצרים בדרך כלל על ידי תבניות מקומיות התואמות רכיבים. לכל מתאר אירוע יש סט שדות משלו. עם זאת, לאירועים יש תחומים משותפים סטנדרטיים.
מתאר האירוע משמש בהתאמת המדיניות. המדיניות יכולה לגשת לשדות בכללי התנאים ולהשוות אותם עם ערכים מוגדרים מראש. עם זאת, לא ניתן להשתמש בכל שדות האירועים לבדיקת מדיניות.
חלק מהשדות אינם טיפוסים סקלאריים אלא סוגים מורכבים (מילונים ורצפים). גישה לשדות המילון ניתנת באמצעות ".". הגישה לשדות הרצף מסופקת באמצעות סימון "[]". הדוגמאות להלן:
process.pid
process.parent.pid
process.accessMask[0]
איור 1 דוגמה למדיניות מודלים אדפטיבית של אירועים
האובייקטים הלוגיים (כמו תהליך, קובץ, משתמש) באירועים מיוצגים כמילונים עם פורמט מוגדר מראש. הפורמט של כל אובייקט מתואר, וניתן להשתמש בשדות שלו להתאמת מדיניות אם הוא מצוין. מתאר האובייקט יכול להכיל שדות המתייחסים לאובייקטים אחרים.
איור 2 דפוסי שרשור
באמצעות הגדרה זו, Comodo Dragon Platform מגדירה איסוף אירועים מבוסס מדיניות שניתן להחיל לא רק על נקודת הקצה עצמה, אלא יכול להיות שונה עבור כל תהליך, שירות או פעולות משתמש. על ידי זה אנחנו לא רק יכולים לאסוף את כל מה ש-Crowdstrike אוסף, אלא גם הוא מסתגל במהלך התקריות. מדוע עלינו לאסוף ולשלוח את כל אירועי כתב האש לתהליך מהימן אם הוא עדיין לא מוזרק? אם מתרחשת הזרקה או מתרחש מזלג אחר, דרגון פלטפורמה מתחילה לאסוף את כל הפרטים לתהליך זה, ולהשאיר את אוסף התהליך האחר ללא נגיעה. באירועים ברמה נמוכה אלו, הנה כמה דוגמאות לאירועים שבהם Crowdstrike לא אוסף:
- LLE_KEYBOARD_GLOBAL_READ
- LLE_KEYBOARD_BLOCK
- LLE_KEYBOARD_GLOBAL_WRITE
- LLE_VOLUME_LINK_CREATE
- LLE_DISK_LINK_CREATE
- LLE_DEVICE_LINK_CREATE
- LLE_VOLUME_RAW_WRITE_ACCESS
- LLE_DISK_RAW_WRITE_ACCESS
- LLE_CLIPBOARD_READ
- LLE_MICROPHONE_ENUM
- LLE_MICROPHONE_READ
- LLE_MOUSE_GLOBAL_WRITE
- LLE_MOUSE_BLOCK
- LLE_WINDOW_DATA_READ
- LLE_DESKTOP_WALLPAPER_SET
- LLE_USER_IMPERSONATION
- MLE_FILE_COPY_TO_USB
- MLE_FILE_COPY_TO_SHARE
- MLE_FILE_COPY_FROM_USB
- MLE_FILE_COPY_FROM_SHARE
- MLE_DANGEROUS_FILE_DOWNLOAD
- MLE_NETWORK_REQUEST_DATA_FROM_SHELL
- MLE_NETWORK_REQUEST_DATA_UNUSUAL_PORT
Dragon Enterprise עושה את כל התאמת הדפוסים באופן דינמי על נקודת הקצה, שולט מה לאסוף, מה לקשר, ורוצה לשלוח בהתבסס על הגדרות המדיניות ההסתגלותית.
מצד שני, Dragon Enterprise מנתח גם את סדרת זמן של אירועים בהתאמה. מודל אירועי הסתגלות שלנו חוקר גם דרגות שונות של מחזוריות בנתונים, כולל תהליך משתמש שיטתי, תהליך-תהליך, אינטגרציה של תהליך-מערכת, כמו גם השפעות של יום בשבוע ושעה ביום, ומסיק מסקנות לגבי אירועים שזוהו (למשל, פופולריות או רמת נוכחות).
כמו איומים מתמשכים מתקדמים (APT), גם איומים פנימיים צריכים להילקח בחשבון במסגרת ה-EDR. התנהגות מצטברת של בני אדם בודדים מציגה בדרך כלל מחזוריות בזמן במספר קנה מידה (יומי, שבועי וכו') המשקפת את המקצבים של הפעילות האנושית הבסיסית וגורמת לנתונים להיראות לא הומוגניים. יחד עם זאת, הנתונים מושחתים לעתים קרובות על ידי מספר תקופות "פרץ" של התנהגויות חריגות. הבעיה של מציאת וחילוץ אירועים חריגים אלה מקשה על ידי שני הגורמים. Dragon Enterprises משתמשת בלמידה ללא פיקוח בהקשר זה, המבוססת על מודלים של תהליך משתנים בזמן שיכולים להסביר גם אירועים חריגים. יצרנו למידה אדפטיבית ואוטונומית להפריד בין אירועי "התפרצות" יוצאי דופן לבין עקבות של פעילות אנושית רגילה.
למידע נוסף על Comodo Dragon Enterprise לעומת Crowdstrike בקר https://bit.ly/3fWZqyJ
להתחיל ניסיון ללא תשלום קבלו את כרטיס האבטחה המיידי בחינם
- הפצת תוכן ויחסי ציבור מופעל על ידי SEO. קבל הגברה היום.
- PlatoData.Network Vertical Generative Ai. העצים את עצמך. גישה כאן.
- PlatoAiStream. Web3 Intelligence. הידע מוגבר. גישה כאן.
- PlatoESG. פחמן, קלינטק, אנרגיה, סביבה, שמש, ניהול פסולת. גישה כאן.
- PlatoHealth. מודיעין ביוטכנולוגיה וניסויים קליניים. גישה כאן.
- מקור: https://blog.comodo.com/endpoint-security/what-is-comodo-dragon-platforms-adaptive-event-modeling-and-why-its-better-than-crowdstrikes/
- :יש ל
- :הוא
- :לֹא
- :איפה
- 1
- 300
- 400
- 455
- a
- יכול
- אודות
- הפשטה
- גישה
- חֶשְׁבּוֹן
- פעולות
- פעילות
- הסתגלות
- מתקדם
- סוכנים
- מצטבר
- תעשיות
- גם
- an
- ניתוחים
- ו
- מכריז
- לְהוֹפִיעַ
- יישומית
- חל
- APT
- ARE
- AS
- At
- המתקפות
- נוכחות
- באופן אוטונומי
- AV
- בסיס
- מבוסס
- BE
- היה
- התנהגות
- התנהגויות
- להיות
- ישויות
- להלן
- מוטב
- בלוג
- שניהם
- צווארי בקבוק
- אבל
- by
- CAN
- מקרים
- קטגוריות
- קטגוריה
- השתנה
- בדיקה
- בדיקות
- קליק
- לקוחות
- מקרוב
- לגבות
- איסוף
- אוסף
- Common
- חדשות קומודו
- לְהַשְׁווֹת
- מורכב
- רכיבים
- המחשב
- מצב
- נחשב
- להכיל
- הקשר
- בקרות
- הומר
- פגום
- יכול
- יומי
- נתונים
- מוגדר
- מגדיר
- הגדרה
- הגדרות
- מְתוּאָר
- פרטים
- זוהה
- איתור
- אחר
- קשה
- עושה
- דְרָקוֹן
- בְּמַהֲלָך
- e
- כל אחד
- תופעות
- אלמנטים
- נקודת קצה
- מִפְעָל
- חברות
- וכו '
- אירוע
- אירועים
- הכל
- דוגמה
- דוגמאות
- מוצגים
- שדות
- שלח
- מציאת
- אש
- הבא
- בעד
- מזלג
- פוּרמָט
- חופשי
- תדר
- החל מ-
- נוצר
- לקבל
- נתן
- יד
- קורה
- יש
- כאן
- אולם
- HTTPS
- בן אנוש
- if
- תמונה
- חשוב
- in
- כולל
- בנפרד
- מידע
- Insider
- מיידי
- השתלבות
- אינטרנט
- Internet Security
- מציג
- חוקרת
- IT
- שֶׁלָה
- עצמו
- jpg
- רק
- רק אחד
- שכבה
- למידה
- פחות
- רמה
- כמו
- מוגבל
- מקומי
- מקומות
- הגיוני
- עשוי
- עושה
- תואם
- max-width
- מאי..
- אומר
- חסר
- מודל
- דוגמנות
- מודלים
- יותר
- רשת
- חדש
- חדשות
- נוֹרמָלִי
- nt
- אובייקט
- אובייקטים
- of
- לעתים קרובות
- זקן
- on
- ONE
- רק
- מבצע
- תפעול
- or
- אחר
- שלנו
- יותר
- שֶׁלוֹ
- תבנית
- דפוסי
- אָחוּז
- תקופות
- PHP
- פלטפורמה
- פלטפורמות
- אפלטון
- מודיעין אפלטון
- אפלטון נתונים
- מדיניות
- פופולריות
- מוגדר מראש
- בעיה
- תהליך
- מוצרים
- לספק
- ובלבד
- חי
- להתייחס
- משקף
- להתייחס
- רישום
- נותר
- מיוצג
- דומה
- אלה
- תגובה
- תוצאה
- כללי
- s
- אותו
- מאזניים
- היקף
- כרטיס ניקוד
- אבטחה
- לשלוח
- נפרד
- רצף
- סדרה
- שרות
- סט
- כמה
- צריך
- כמה
- מָקוֹר
- ספציפי
- מפורט
- תֶקֶן
- התחלות
- סטטי
- כזה
- המשימות
- מֵאֲשֶׁר
- זֶה
- השמיים
- שֶׁלָהֶם
- אותם
- אלה
- הֵם
- לחשוב
- זֶה
- אלה
- איומים
- זמן
- ל
- חלק עליון
- מהימן
- סוג
- סוגים
- בדרך כלל
- בְּסִיסִי
- לא ידוע
- לא נגע
- להשתמש
- מְשׁוּמָשׁ
- משתמש
- שימושים
- באמצעות
- בְּדֶרֶך כְּלַל
- ערכים
- ספקים
- נגד
- מאוד
- רוצה
- we
- שבועי
- טוֹב
- מה
- מה
- אשר
- למה
- עם
- לכתוב
- עוד
- זפירנט