سامانه پشتیبانی
سامانه پشتیبانی
صفحه اصلی مفهوم غنی‌سازی (Enrichment) در EDR سیمنتک

مفهوم غنی‌سازی (Enrichment) در EDR سیمنتک

در زمینه‌ی امنیت سایبری، غنی‌سازی به معنای افزودن اطلاعات زمینه‌ای به داده‌های خام (مانند هش فایل، دامنه یا آدرس IP) است تا تحلیلگران بتوانند تصمیمات آگاهانه‌تری بگیرند

مثال:

اگر تنها یک هش فایل در اختیار داشته باشیم، اطلاعات محدودی داریم. اما با پاسخ به سؤالاتی مانند

آیا این فایل توسط آنتی‌ویروس‌ها شناسایی شده است

آیا به کمپین‌های تهدید خاصی مرتبط است

آیا نمونه‌های مشابهی آنلاین وجود دارد

آیا رشته‌های مشکوکی در آن وجود دارد

آیا فایل فشرده یا رمزگذاری شده است

آیا فرآیندهای مشکوکی را اجرا می‌کند

می‌توانیم از یک هش ساده به اطلاعات گسترده‌تری دست یابیم

 

ساختار رویدادهای غنی‌شده در SEDR در سیمنتک

هنگامی که SEDR یک رویداد را جمع‌آوری می‌کند، سعی می‌کند تا حد امکان اطلاعات زمینه‌ای و اضافی را فراهم کند

اطلاعات معمول در یک رویداد ایجاد فرآیند (TypeID 8001):

  • مسیر تصویر والد/فرزند در دیسک
  • خط فرمان والد/فرزند
  • هش‌های MD5 / SHA256 برای هر دو فرآیند
  • PID / PPID
  • توصیف‌گر امنیتی برای هر دو فرآیند
  • زمان اجرا
  • نام کاربری و SID
  • سیستم‌عامل

علاوه بر این، SEDR رویداد را با اطلاعاتی مانند نگاشت به تکنیک‌های MITRE ATT&CK غنی می‌کند

 

فیلدهای enriched_data در SED

در مستندات SEDR، ۱۰ زیر‌فیلد مرتبط با فیلد enriched_data وجود دارد:

  • enriched_data.category_id
  • enriched_data.category_name
  • enriched_data.event_group_id
  • enriched_data.extra_numeric_info.key_name
  • enriched_data.extra_numeric_info.value
  • enriched_data.extra_string_info.key_name
  • enriched_data.extra_string_info.value
  • enriched_data.rule_description
  • enriched_data.rule_id
  • enriched_data.rule_name​

این فیلدها اطلاعات اضافی و زمینه‌ای را به رویدادها اضافه می‌کنند که به تحلیل دقیق‌تر کمک می‌کند.

 

قوانین غنی‌سازی و فایل atp-rules.se

با بررسی فایل atp-rules.sen در محیط آزمایشگاهی ، به شناسایی قوانینی پرداخته شده است که SEDR برای غنی‌سازی رویدادها استفاده می‌کند. این قوانین شامل

  • rule_nme
  • rule_descripton
  • ruleid

با تحلیل این قوانین، می‌توان رفتارهای خاصی را که توسط رویدادها ثبت شده‌اند، درک کرد

 

مثال عملی: شناسایی اجرای وظیفه زمان‌بندی‌ده

مثالی از یک رویداد ایجاد فرآیند با خط فرمان خاص در لینک زیر ارائه می‌دهد که نشان‌دهنده اجرای یک وظیفه زمان‌بندی‌شده است. SEDR این رویداد را با rule_name مرتبط غنی می‌کند که به تحلیلگر کمک می‌کند تا رفتار مشکوک را شناسایی کند.

 

اهمیت برای تیم‌های امنیتی
  • تیم‌های آبی (تحلیلگران امنیت): با درک قوانین غنی‌سازی، می‌توانند جستجوهای دقیق‌تری انجام دهند و درک عمیق‌تری از رفتارهای مشکوک داشته اشند
  • تیم‌های قرمز (تست نفوذگرا): با شناخت این قوانین، می‌توانند روش‌هایی برای دور زدن شناسایی‌ها پیداکنند