읽기 시간 : 5 분
EDR (Endpoint Detection and Response) 제품의 이벤트 수집에는 딜레마가 있습니다. 엔드 포인트에서 생성 된 모든 이벤트를 수집한다는 것은 엔드 포인트와 네트워크의 병목 현상을 의미합니다. 더 적게 수집하면 중요한 이벤트를 놓칠 수 있습니다. 더 많이 수집하면 성능이 저하 될 수 있습니다.
Crowdstrike를 포함한 현재 EDR 공급 업체는 사전 정의 된 이벤트 스키마를 사용하여 모든 에이전트가 에이전트에 하드 코드됩니다. Crowdstrike는 특정 레지스트리 파일 위치 확인 등과 같은 사전 정의 된 규칙을 사용하여 정적 인 400 개의 서로 다른 이벤트 (그중 일부가 자체 에이전트 특정 이벤트 인 경우)를 사용한다고 발표했습니다.
다음은 주요 이벤트 카테고리입니다.
- 레지스트리 이벤트
- 파일 이벤트
- 행동 이벤트
- 브라우저 이벤트
- 클립 보드 작업
- 프로세스 이벤트
- 예정된 작업 이벤트
- 서비스 이벤트
- 스레드 이벤트
- 환경 변수
- FW 이벤트
- IOA 규칙 이벤트
- NetShare 이벤트
- USB 이벤트
- 주입 이벤트
- 네트워크 이벤트
- Windows 이벤트 로그
- FS 이벤트
- 이벤트 설치
- 자바 이벤트
- 커널 이벤트
- 모듈 이벤트
- LSASS 이벤트
- 검역소 조치
- 랜섬웨어 작업
- SMB 클라이언트 이벤트
각 범주에 대해 PdfFileWritten, DmpFileWritten, DexFileWritten 등과 같은 특정 이벤트가 생성되지만 파일 유형 만 변경된 모든 파일 쓰기 작업입니다. 레지스트리 이벤트, 서비스 이벤트 등에도 동일하게 적용됩니다.
그러나 알 수 없거나 일반적인 파일 형식으로 파일 쓰기 작업은 어떻습니까? 하나의 이벤트뿐만 아니라 일련의 이벤트는 어떻습니까? 아니면 사건의 빈도? 아니면 중요한 동일한 사건의 패턴? 이러한 경우 Crowdstrike와 같은 정적 이벤트 모델은 새로운 APT 유형의 공격을 탐지하는 범위가 매우 제한적입니다. Crowdstrike 이벤트 모델을 기존 서명 기반 AV 스캐너와 매우 유사한 "서명 기반 이벤트 수집"으로 간주 할 수 있습니다.
코모도의 드래곤 엔터프라이즈 소개 “적응 형 이벤트 모델링” 이벤트는 다음과 같은 기본 설명자에서 정의됩니다.
프로세스 :
토큰 :
실:
파일 :
다른 설명자는 다음과 같습니다.
- 사용자
- 레지스트리
- 메모리
- 네트워크
- 서비스,
- 볼륨,
- IP 등
하위 레벨 이벤트 (LLE)는 하나의 기본 활동의 결과로 생성됩니다. 이들은 서로 다른 구성 요소의 원시 이벤트를 기반으로하지만 이벤트 소스 및 API 및 컨트롤러 특정 데이터의 추상화 계층을 제공합니다. 예를 들어, 서로 다른 제어기 및 필드 세트가 다른 서로 다른 원시 이벤트는 한 유형의 LLE로 변환 될 수 있습니다.
중간 레벨 이벤트 (MLE)는 LLE 시퀀스의 결과로 생성되는 이벤트입니다. 몇 가지 예는 다음과 같습니다.
일반적으로 컴포넌트와 일치하는 로컬 패턴으로 생성됩니다. 각 이벤트 디스크립터에는 고유 한 필드 세트가 있습니다. 그러나 이벤트에는 표준 공통 필드가 있습니다.
이벤트 설명자는 정책 일치에 사용됩니다. 정책은 조건 규칙의 필드에 액세스하여 사전 정의 된 값과 비교할 수 있습니다. 그러나 모든 이벤트 필드를 정책 확인에 사용할 수있는 것은 아닙니다.
일부 필드는 스칼라 형식이 아니라 복잡한 형식 (사전 및 시퀀스)입니다. 사전 필드에 대한 액세스는“.”을 사용하여 제공됩니다. 시퀀스 필드에 대한 액세스는 "[]"표기법을 사용하여 제공됩니다. 예는 다음과 같습니다.
프로세스.pid
프로세스.부모.피드
process.accessMask [0]
그림 1 적응 형 이벤트 모델링 정책의 예
이벤트의 논리 오브젝트 (예 : 프로세스, 파일, 사용자)는 사전 정의 된 형식의 사전으로 표시됩니다. 각 개체의 형식이 설명되어 있으며 해당 필드를 지정하면 정책 일치에 해당 필드를 사용할 수 있습니다. 객체 디스크립터는 다른 객체를 참조하는 필드를 포함 할 수 있습니다.
그림 2 패턴 체인
이 정의를 사용하여 Comodo Dragon Platform은 엔드 포인트 자체에 적용될 수있을뿐만 아니라 프로세스, 서비스 또는 사용자 작업마다 다를 수있는 정책 기반 이벤트 수집을 정의합니다. 이것으로 우리는 Crowdstrike가 수집하는 모든 것을 수집 할 수있을뿐만 아니라 사건 동안 적응할 수 있습니다. 아직 주입되지 않은 경우 신뢰할 수있는 프로세스에 대한 모든 화재 쓰기 이벤트를 수집하고 보내야하는 이유는 무엇입니까? 인젝션이 발생하거나 다른 포크가 발생하면 Dragon Platform은 해당 프로세스에 대한 모든 세부 사항 수집을 시작하고 다른 프로세스 콜렉션은 그대로 둡니다. 낮은 수준의 이벤트에서 Crowdstrike가 수집하지 않는 이벤트의 몇 가지 예는 다음과 같습니다.
- LLE_KEYBOARD_GLOBAL_READ
- LLE_KEYBOARD_BLOCK
- LLE_KEYBOARD_GLOBAL_WRITE
- LLE_VOLUME_LINK_CREATE
- LLE_DISK_LINK_CREATE
- LLE_DEVICE_LINK_CREATE
- LLE_VOLUME_RAW_WRITE_ACCESS
- LLE_DISK_RAW_WRITE_ACCESS
- LLE_CLIPBOARD_READ
- LLE_MICROPHONE_ENUM
- LLE_MICROPHONE_READ
- LLE_MOUSE_GLOBAL_WRITE
- LLE_MOUSE_BLOCK
- LLE_WINDOW_DATA_READ
- LLE_DESKTOP_WALLPAPER_SET
- LLE_USER_IMPERSONATION
- MLE_FILE_COPY_TO_USB
- MLE_FILE_COPY_TO_SHARE
- MLE_FILE_COPY_FROM_USB
- MLE_FILE_COPY_FROM_SHARE
- MLE_DANGEROUS_FILE_DOWNLOAD
- MLE_NETWORK_REQUEST_DATA_FROM_SHELL
- MLE_NETWORK_REQUEST_DATA_UNUSUAL_PORT
Dragon Enterprise는 모든 패턴 일치를 수행합니다 엔드 포인트에서 동적으로적응 형 정책 정의를 기반으로 수집 대상, 상관 대상 및 전송을 제어합니다.
반면에, Dragon Enterprise는 각 사건의 시계열. 적응 형 이벤트 모델링은 또한 체계적인 사용자 프로세스, 프로세스 프로세스, 프로세스 시스템 통합, 요일 및 시간 효과를 포함하여 데이터의 다양한 주기성을 조사하고 감지 된 이벤트 (예 : 인기 또는 출석 수준).
지능형 영구 위협 (APT)과 마찬가지로 내부 위협도 EDR 범위에서 고려해야합니다. 개별 인간의 집계 된 행동은 일반적으로 근본적인 인간 활동의 리듬을 반영하고 데이터가 비균질하게 보이게하는 몇 가지 척도 (일일, 주별 등)에서 시간주기를 나타냅니다. 동시에, 데이터는 종종 비정상적인 몇 번의 "버스트"기간에 의해 손상됩니다. 이러한 이상 현상을 찾아 추출하는 문제는 두 요소 모두에 의해 어렵습니다. Dragon Enterprises는 예외 상황을 설명 할 수있는 시변 프로세스 모델을 기반으로 이러한 맥락에서 비지도 학습을 사용합니다. 우리는 비정상적인“버스트”사건을 정상적인 인간 활동의 흔적과 분리하기 위해 적응적이고 자율적으로 학습했습니다.
Comodo Dragon Enterprise 및 Crowdstrike 방문에 대한 자세한 내용은 https://bit.ly/3fWZqyJ
이메일 보안 테스트 인스턴트 보안 점수를 무료로 받으십시오 출처 : https://blog.comodo.com/endpoint-security/what-is-comodo-dragon-platforms-adaptive-event-modeling-and-why-its-better-than-crowdstrikes/
