Čas branja: 5 minObstaja dilema glede zbiranja dogodkov izdelkov za zaznavanje in odziv končne točke (EDR). Zbiranje vseh dogodkov, ki jih ustvarijo končne točke, pomeni ozka grla na končni točki in v omrežju. Manj zbiranja lahko povzroči manjkajoče pomembne dogodke; več zbiranja bi lahko povzročilo končne točke nizke učinkovitosti.
Trenutni ponudniki EDR, vključno s Crowdstrikeom, uporabljajo vnaprej določeno shemo dogodkov, kjer so vsi trdo kodirani v svojih agentih. Crowdstrike oznanja, da uporabljajo 400 različnih dogodkov (kjer je odstotek dogodkov njihovih lastnih agentov), ki so statični, z vnaprej določenimi pravili, kot so preverjanja določenih lokacij registrskih datotek itd.
Sledijo njihove najboljše kategorije dogodkov:
- Registrski dogodki
- Datotečni dogodki
- Vedenje dogodkov
- Dogodki v brskalniku
- Operacije odložišča
- Procesni dogodki
- Načrtovani dogodki opravil
- Storitveni dogodki
- Dogodki niti
- Okoljske spremenljivke
- FW dogodki
- Dogodki s pravili IOA
- Dogodki NetShare
- USB dogodki
- Dogodki vbrizgavanja
- Omrežni dogodki
- Dnevnik dogodkov Windows
- FS dogodki
- Namestite dogodke
- Java dogodki
- Dogodki jedra
- Dogodki modula
- Dogodki LSASS
- Karantenska dejanja
- Dejanja izsiljevalske programske opreme
- Dogodki strank SMB
Za vsako kategorijo se generirajo posebni dogodki, kot so PdfFileWritten, DmpFileWritten, DexFileWritten itd., vendar so to vse operacije pisanja datotek, pri katerih je bila spremenjena samo vrsta datoteke. Enako velja za dogodke v registru, storitvene dogodke itd.
Kaj pa operacija zapisovanja datoteke v neznano ali generično vrsto datoteke? Kaj pa ne le en dogodek, ampak niz dogodkov? Ali pogostost dogodkov? Ali vzorci istih dogodkov, ki so pomembni? V takšnih primerih ima model statičnega dogodka, kot je model Crowdstrike, zelo omejen obseg zaznavanja te nove vrste napadov APT. Model dogodkov Crowdstrike lahko obravnavamo kot »zbirko dogodkov na podlagi podpisov«, ki je zelo podobna starim AV-skenerjem, ki temeljijo na podpisih.
Comodo's Dragon Enterprise predstavlja »Prilagodljivo modeliranje dogodkov« kjer so dogodki definirani iz osnovnih deskriptorjev, kot je
Proces:
Token:
Tema:
Datoteka:
Nekateri drugi deskriptorji so:
- uporabnik
- registra
- Spomin
- mreža
- storitev,
- prostornina,
- IP itd.
dogodki nizke ravni (LLE) pa nastanejo kot rezultat ene osnovne dejavnosti. Ti temeljijo na neobdelanih dogodkih iz različnih komponent, vendar zagotavljajo nekaj abstraktne plasti iz vira dogodkov ter podatkov, specifičnih za API in krmilnika. Na primer, različne neobdelane dogodke iz različnih krmilnikov in z drugačnim nizom polj je mogoče pretvoriti v LLE ene vrste.
Dogodki srednje ravni (MLE) so dogodki, ki nastanejo kot rezultat zaporedja LLE. Spodaj je navedenih nekaj primerov:
Običajno jih ustvarijo lokalni vzorci, ki se ujemajo s komponentami. Vsak deskriptor dogodka ima svoj niz polj. Vendar imajo dogodki standardna skupna polja.
Deskriptor dogodka se uporablja pri ujemanju pravilnika. Pravilnik lahko dostopa do polj v pravilih pogojev in jih primerja z vnaprej določenimi vrednostmi. Vendar pa vseh polj dogodkov ni mogoče uporabiti za preverjanje pravilnika.
Nekatera polja niso skalarni tipi, temveč kompleksni tipi (slovarji in zaporedja). Dostop do slovarskih polj je omogočen z uporabo ».«. Dostop do polj zaporedja je omogočen z uporabo zapisa “[]”. Primeri so spodaj:
proces.pid
process.parent.pid
proces.accessMask[0]
Slika 1 Primer pravilnikov za modeliranje prilagodljivih dogodkov
Logični objekti (kot so proces, datoteka, uporabnik) v dogodkih so predstavljeni kot slovarji z vnaprej določeno obliko. Format vsakega objekta je opisan in njegova polja se lahko uporabljajo za ujemanje pravilnika, če je podano. Deskriptor objekta lahko vsebuje polja, ki se nanašajo na druge objekte.
Slika 2 Veriženje vzorcev
Z uporabo te definicije platforma Comodo Dragon definira zbiranje dogodkov na podlagi pravilnika, ki ga je mogoče uporabiti ne le za samo končno točko, ampak je lahko različno za vsak proces, storitev ali dejanja uporabnika. S tem ne samo, da lahko zberemo vse, kar Crowdstrike zbere, ampak je tudi prilagodljiv med incidenti. Zakaj bi zbirali in pošiljali vse dogodke zapisovanja požara v zaupanja vreden proces, če še ni vstavljen? Če pride do vstavitve ali drugačne razcepitve, Dragon Platform začne zbirati vse podrobnosti za ta proces, zbiranje drugega procesa pa ostane nedotaknjeno. Na teh dogodkih nizke ravni je nekaj primerov dogodkov, kjer Crowdstrike ne zbira:
- LLE_KEYBOARD_GLOBAL_READ
- LLE_KEYBOARD_BLOCK
- LLE_KEYBOARD_GLOBAL_WRITE
- LLE_VOLUME_LINK_CREATE
- LLE_DISK_LINK_CREATE
- LLE_DEVICE_LINK_CREATE
- LLE_VOLUME_RAW_WRITE_ACCESS
- LLE_DISK_RAW_WRITE_ACCESS
- LLE_CLIPBOARD_READ
- LLE_MICROPHONE_ENUM
- LLE_MICROPHONE_READ
- LLE_MOUSE_GLOBAL_WRITE
- LLE_MOUSE_BLOCK
- LLE_WINDOW_DATA_READ
- LLE_DESKTOP_WALLPAPER_SET
- LLE_USER_IMPERSONATION
- MLE_FILE_COPY_TO_USB
- MLE_FILE_COPY_TO_SHARE
- MLE_FILE_COPY_FROM_USB
- MLE_FILE_COPY_FROM_SHARE
- MLE_DANGEROUS_FILE_DOWNLOAD
- MLE_NETWORK_REQUEST_DATA_FROM_SHELL
- MLE_NETWORK_REQUEST_DATA_UNUSUAL_PORT
Dragon Enterprise poskrbi za ujemanje vzorcev dinamično na končni točki, nadzira, kaj zbrati, kaj povezati in želi poslati na podlagi definicij prilagodljivih pravilnikov.
Po drugi strani pa Dragon Enterprise analizira tudi časovni niz zadevnih dogodkov. Naše modeliranje prilagodljivih dogodkov raziskuje tudi različne stopnje periodičnosti podatkov, vključno s sistematičnim procesom uporabnika, procesom procesom, integracijo procesov v sistem ter učinki dneva v tednu in ure v dnevu, ter sklepa o zaznani dogodki (npr. priljubljenost ali stopnja obiska).
Tako kot napredne trajne grožnje (APT) je treba v okviru EDR upoštevati tudi notranje grožnje. Skupno vedenje posameznih človeških bitij običajno kaže periodičnost v času na več lestvicah (dnevno, tedensko itd.), ki odraža ritem osnovne človeške dejavnosti in povzroči, da so podatki videti nehomogeni. Hkrati so podatki pogosto pokvarjeni zaradi več "izbruhov" obdobij nenavadnega vedenja. Težavo pri iskanju in ekstrahiranju teh nenavadnih dogodkov otežujeta oba elementa. Dragon Enterprises v tem kontekstu uporablja nenadzorovano učenje, ki temelji na časovno spremenljivih procesnih modelih, ki lahko upoštevajo tudi nenormalne dogodke. Ustvarili smo prilagodljivo in avtonomno učenje ločevanja nenavadnih "izbruhov" dogodkov od sledi običajne človeške dejavnosti.
Za več informacij o Comodo Dragon Enterprise proti Crowdstrike obiščite https://bit.ly/3fWZqyJ
Zaznavanje končne točke in odziv
Pošta Kaj je Adaptivno modeliranje dogodkov platforme Comodo Dragon Platform in zakaj mislimo, da je bolje kot Crowdstrike pojavil prvi na Novice Comodo in informacije o varnosti interneta.
- Coinsmart. Najboljša evropska borza bitcoinov in kriptovalut.
- Platoblockchain. Web3 Metaverse Intelligence. Razširjeno znanje. PROST DOSTOP.
- CryptoHawk. Altcoin radar. Brezplačen preizkus.
- Vir: https://blog.comodo.com/endpoint-security/what-is-comodo-dragon-platforms-adaptive-event-modeling-and-why-its-better-than-crowdstrikes/
- a
- O meni
- dostop
- Račun
- dejavnosti
- dejavnost
- napredno
- agenti
- vsi
- Igro
- uporabna
- APT
- prisotnost
- AV
- počutje
- spodaj
- Block
- primeri
- Kategorija
- preverjanje
- Pregledi
- zbiranje
- Zbiranje
- zbirka
- Skupno
- kompleksna
- deli
- računalnik
- stanje
- Nadzor
- bi
- vsak dan
- datum
- opisano
- Podrobnosti
- Zaznali
- Odkrivanje
- drugačen
- težko
- zaslon
- Dragon
- med
- Učinki
- elementi
- Končna točka
- Podjetje
- podjetja
- itd
- Event
- dogodki
- vse
- Primer
- Primeri
- eksponati
- Področja
- iskanje
- narava
- prva
- po
- vilice
- format
- iz
- tukaj
- Vendar
- HTTPS
- človeškega
- slika
- Pomembno
- Vključno
- individualna
- Podatki
- Insider
- integracija
- Internet
- Internet Security
- IT
- sam
- samo en
- plast
- učenje
- Stopnja
- Limited
- lokalna
- Lokacije
- je
- IZDELA
- ujemanje
- pomeni
- Model
- modeli
- več
- mreža
- novice
- normalno
- Delovanje
- operacije
- Ostalo
- lastne
- Vzorec
- odstotkov
- obdobja
- platforma
- politika
- Priljubljenost
- problem
- Postopek
- Izdelki
- zagotavljajo
- če
- Surovi
- odseva
- Preostalih
- zastopan
- Odgovor
- pravila
- Enako
- varnost
- Serija
- Storitev
- nastavite
- več
- nekaj
- specifična
- standardna
- začne
- O
- grožnje
- čas
- vrh
- Vrste
- tipično
- uporaba
- navadno
- prodajalci
- Proti
- Tedenski
- Kaj
- Kaj je