Olvasási idő: 5 jegyzőkönyvDilemma van a végpontészlelési és válaszadási (EDR) termékek eseménygyűjteményével kapcsolatban. A végpontok által generált összes esemény összegyűjtése szűk keresztmetszeteket jelent a végponton és a hálózaton. Ha kevesebbet gyűjt, fontos események elmaradhatnak; több gyűjtése alacsony teljesítményű végpontokat eredményezhet.
A jelenlegi EDR-szállítók, beleértve a Crowdstrike-ot is, előre meghatározott eseménysémát használnak, ahol mindegyik kódolva van az ügynökeikben. A Crowdstrike bejelenti, hogy 400 különböző eseményt használnak (ahol ezek egy százaléka saját ügynök-specifikus esemény), amelyek statikusak, előre meghatározott szabályokkal, például bizonyos regisztrációs fájlok helyének ellenőrzésével stb.
A következők a legnépszerűbb eseménykategóriáik:
- Regisztrációs események
- Fájl események
- Viselkedési események
- Böngésző események
- Vágólap műveletek
- Események feldolgozása
- Ütemezett feladatesemények
- Szolgáltatási események
- Szál események
- Környezeti változók
- FW események
- IOA szabályok Események
- NetShare események
- USB események
- Injekciós események
- Hálózati események
- Windows Eseménynapló
- FS események
- Események telepítése
- Java események
- Kernel események
- Modul események
- LSASS események
- Karantén akciók
- Ransomware-műveletek
- SMB-kliens események
Minden kategóriához meghatározott események generálódnak, mint például a PdfFileWritten, DmpFileWritten, DexFileWritten stb., de ezek mind olyan fájlírási műveletek, amelyeknél csak a fájl típusa módosult. Ugyanez vonatkozik a regisztrációs eseményekre, a szolgáltatási eseményekre stb.
De mi a helyzet a fájlírási művelettel ismeretlen vagy általános fájltípusra? Mi a helyzet nem csak egy eseménnyel, hanem egy eseménysorozattal? Vagy az események gyakorisága? Vagy ugyanazon események mintái, amelyek fontosak? Ilyen esetekben a Crowdstrike-hoz hasonló statikus eseménymodellnek nagyon korlátozott a hatóköre az új APT típusú támadások észlelésére. A Crowdstrike eseménymodell „aláírás-alapú eseménygyűjtésnek” tekinthető, amely nagyon hasonlít a régi aláírás-alapú AV szkennerekre.
A Comodo's Dragon Enterprise bemutatja „Adaptív eseménymodellezés” ahol az eseményeket olyan alapleírókból határozzák meg, mint pl
Folyamat:
Jelképes:
Cérna:
fájl:
Néhány további leíró:
- használó
- iktató hivatal
- Memory design
- Hálózat
- szolgáltatás,
- hangerő,
- IP stb.
és az alacsony szintű események (LLE) egy elemi tevékenység eredményeként jönnek létre. Ezek különböző összetevőkből származó nyers eseményeken alapulnak, de bizonyos absztrakciós réteget biztosítanak az eseményforrásból, valamint az API-specifikus és a vezérlőspecifikus adatokból. Például a különböző vezérlőktől származó és eltérő mezőkészletű különböző nyers események konvertálhatók egy típusú LLE-vé.
A középszintű események (MLE) olyan események, amelyek az LLE sorozatának eredményeként jönnek létre. Néhány példa az alábbiakban látható:
Ezeket általában a helyi minták megfelelő összetevői generálják. Minden eseményleíró saját mezőkészlettel rendelkezik. Az eseményeknek azonban szabványos közös mezői vannak.
Az eseményleíró a házirend-egyeztetésben használatos. A házirend hozzáférhet a feltételszabályok mezőihez, és összehasonlíthatja azokat előre meghatározott értékekkel. Azonban nem minden eseménymező használható házirend-ellenőrzéshez.
Egyes mezők nem skaláris típusúak, hanem összetett típusúak (szótárak és sorozatok). A szótár mezőihez a „.” használatával lehet hozzáférni. A sorozatmezőkhöz való hozzáférést a „[]” jelölés biztosítja. A példák az alábbiak:
folyamat.pid
process.parent.pid
process.accessMask[0]
1. ábra Példa adaptív eseménymodellezési irányelvekre
Az események logikai objektumai (például folyamat, fájl, felhasználó) előre meghatározott formátumú szótárakként jelennek meg. Az egyes objektumok formátuma le van írva, és mezői felhasználhatók a házirend-egyeztetéshez, ha meg van adva. Az objektumleíró tartalmazhat olyan mezőket, amelyek más objektumokra hivatkoznak.
2. ábra Minták láncolása
Ezzel a definícióval a Comodo Dragon Platform házirend-alapú eseménygyűjtést határoz meg, amely nemcsak magára a végpontra alkalmazható, hanem az egyes folyamatok, szolgáltatások vagy felhasználói műveletek esetében eltérő lehet. Ezzel nem csak össze tudjuk gyűjteni mindazt, amit a Crowdstrike gyűjt, hanem az incidensek során is alkalmazkodik. Miért kellene összegyűjtenünk és elküldenünk minden tűzírási eseményt egy megbízható folyamathoz, ha még nincs befecskendezve? Ha befecskendezés történik, vagy egy másik elágazás történik, a Dragon Platform elkezdi gyűjteni az adott folyamat összes részletét, a másik folyamatgyűjtemény érintetlen marad. Íme néhány példa azokra az alacsony szintű eseményekre, ahol a Crowdstrike nem gyűjt:
- LLE_KEYBOARD_GLOBAL_READ
- LLE_KEYBOARD_BLOCK
- LLE_KEYBOARD_GLOBAL_WRITE
- LLE_VOLUME_LINK_CREATE
- LLE_DISK_LINK_CREATE
- LLE_DEVICE_LINK_CREATE
- LLE_VOLUME_RAW_WRITE_ACCESS
- LLE_DISK_RAW_WRITE_ACCESS
- LLE_CLIPBOARD_READ
- LLE_MICROPHONE_ENUM
- LLE_MICROPHONE_READ
- LLE_MOUSE_GLOBAL_WRITE
- LLE_MOUSE_BLOCK
- LLE_WINDOW_DATA_READ
- LLE_DESKTOP_WALLPAPER_SET
- LLE_USER_IMPERSONATION
- MLE_FILE_COPY_TO_USB
- MLE_FILE_COPY_TO_SHARE
- MLE_FILE_COPY_FROM_USB
- MLE_FILE_COPY_FROM_SHARE
- MLE_DANGROUS_FILE_DOWNLOAD
- MLE_NETWORK_REQUEST_DATA_FROM_SHELL
- MLE_NETWORK_REQUEST_DATA_UNUSUAL_PORT
A Dragon Enterprise minden mintaillesztést elvégez dinamikusan a végponton, szabályozza, hogy mit kell gyűjteni, mit kell korrelálni, és el akarja küldeni az adaptív házirend-definíciók alapján.
Másrészt a Dragon Enterprise is elemzi a az adott események idősorai. Adaptív eseménymodellezésünk az adatok különböző fokú periodicitását is vizsgálja, beleértve a szisztematikus felhasználói folyamatot, folyamatfolyamatot, folyamat-rendszer integrációt, valamint a hét napjaira és a napszakokra vonatkozó hatásokat, és következtetéseket von le a észlelt események (pl. népszerűség vagy látogatottság).
A fejlett tartós fenyegetésekhez (APT) hasonlóan a bennfentes fenyegetéseket is figyelembe kell venni az EDR hatálya alatt. Az egyes emberi lények összesített viselkedése jellemzően több skálán (napi, heti stb.) időben periodicitást mutat, amely tükrözi a mögöttes emberi tevékenység ritmusát, és az adatokat nem homogénnek teszi. Ugyanakkor az adatokat gyakran megsértik a szokatlan viselkedések több „kitörési” időszaka. Mindkét elem nehezíti ezen anomális események megtalálásának és kinyerésének problémáját. A Dragon Enterprises ebben az összefüggésben felügyelet nélküli tanulást alkalmaz, olyan időben változó folyamatmodelleken alapulva, amely rendellenes eseményeket is figyelembe vehet. Adaptív és autonóm tanulást generáltunk, hogy elkülönítsük a szokatlan „kitöréses” eseményeket a normális emberi tevékenység nyomaitól.
További információért a Comodo Dragon Enterprise versus Crowdstrike-ról látogasson el https://bit.ly/3fWZqyJ
Informatikai számítógép-menedzsment
A poszt Mi a Comodo Dragon Platform adaptív eseménymodellezése, és miért gondoljuk, hogy jobb, mint a Crowdstrike jelent meg először Comodo News és Internet Security Information.
- Coinsmart. Európa legjobb Bitcoin- és kriptográfiai tőzsdéje.
- Platoblockchain. Web3 metaverzum intelligencia. Felerősített tudás. SZABAD HOZZÁFÉRÉS.
- CryptoHawk. Altcoin radar. Ingyenes próbaverzió.
- Forrás: https://blog.comodo.com/endpoint-security/what-is-comodo-dragon-platforms-adaptive-event-modeling-and-why-its-better-than-crowdstrikes/
- hozzáférés
- Fiók
- szerek
- Minden termék
- bejelenti
- APT
- Támadások
- AV
- Blog
- esetek
- ellenőrzése
- Ellenőrzések
- Gyűjtő
- Közös
- dátum
- Érzékelés
- Sárkány
- Endpoint
- Vállalkozás
- stb.
- esemény
- események
- Fields
- természet
- villa
- formátum
- itt
- HTTPS
- Beleértve
- információ
- Bennfentes
- integráció
- IT
- tanulás
- szint
- Korlátozott
- helyi
- modell
- modellezés
- hálózat
- Művelet
- Más
- Mintás
- emelvény
- politika
- Termékek
- Nyers
- válasz
- szabályok
- biztonság
- Series of
- készlet
- fenyegetések
- idő
- felső
- felügyelet nélküli tanulás
- gyártók
- Ellen
- heti
- Mi