התאמת כללים וזיהוי¶
מודול התאמת הכללים הוא האופן שבו Nyroxis Intelligence מעריך אירועי אבטחה ומייצר התראות. הוא מביא לוגיקת זיהוי בסגנון SIEM למכשירים אישיים — לחלוטין לא מקוון, מכוון לפרטיות, וניתן להרחבה על ידי אנשי אבטחה מקצועיים.
מה עושה התאמת הכללים¶
Nyroxis Intelligence מעריך אירועים מול שלוש שכבות של כללים מקומיים כדי לזהות: - דפוסי איומים ידועים באירועים בודדים - קשרים חשודים בין אירועים לאורך זמן - רצפי התקפה רב-שלביים
שום כללים או יומנים אינם נשלחים לאינטרנט.
שלוש שכבות זיהוי¶
שכבה 1 — כללי זיהוי (27 כללים)¶
התאמת דפוסים מול אירועים בודדים.
סוגי טריגרים: - הרצת תהליך חשודה - התקנת שירות לא מורשית - התנהגות רשת חריגה - ניסיונות גישה לאישורים - מדדים של פעילות תוכנה זדונית ידועה
כאשר כלל זיהוי מופעל, נוצרת התראה מיידית ומאוחסנת במסד הנתונים של הזיהויים.
שכבה 2 — כללי מתאם (12 כללים)¶
התאמת דפוסים בין אירועים קשורים לאורך זמן ובין מקורות שונים.
סוגי טריגרים: - כניסה כושלת ואחריה כניסה מוצלחת ממיקום שונה - תהליך חדש שמופעל מיד לאחר חיבור התקן USB - ניסיונות חיבור כושלים חוזרים ואחריהם שיחה יוצאת מוצלחת - הרצת סקריפט ואחריה שינוי מערכת קבצים
כללי מתאם חושפים דפוסי איומים שאף אירוע בודד לא יכול לחשוף לבדו.
שכבה 3 — כללי שרשרת (2 כללים)¶
זיהוי רצפי התקפה רב-שלביים הפרושים על פני אירועים מרובים וחלונות זמן.
כללי שרשרת הם ההתראות בעדיפות הגבוהה ביותר במערכת. הם מייצגים פריצות מתואמות ומתקדמות — הסוג המאפיין איומים מתמשכים מתקדמים.
כל ממצא שרשרת כולל שחזור מלא של רצף ההתקפה שזוהה.
ניתן להרחבה על ידי אנשי אבטחה מקצועיים¶
מנוע הכללים פתוח לחלוטין להרחבה. אנשי אבטחה מקצועיים יכולים: - לכתוב כללי זיהוי, מתאם או שרשרת מותאמים אישית בפורמט JSON - לפרוס אותם ישירות למערכת מבלי לשנות רכיבי ליבה - לבדוק כללים מול נתוני אירועים קיימים לפני פריסה - לנהל את ספריית הכללים המותאמת שלהם עם ניהול גרסאות
זה מאפשר להתאים את Nyroxis לסביבות ספציפיות, מודלי איומים, או דרישות ארגוניות.
כיצד המנוע מעריך כללים¶
Nyroxis Intelligence מתאים כללים מול: - מטא-נתונים ותוכן של אירועים - חותמות זמן וחלונות זמן -系譜 תהליכים - נקודות קצה של רשת - מדדי חומרה - קשרים בין-אירועיים
כל ההערכות הן בזמן אמת ומקומיות לחלוטין.
כאשר כלל מופעל¶
כאשר כלל מותאם, Nyroxis: - מעלה התראה מיידית - מאחסן את הממצא במסד הנתונים הייעודי של זיהויים - מתעד את האירועים שהותאמו, רמת החומרה ופרטי הכלל - הופך את הממצא לגלוי בתצוגת זיהוי, מתאם או שרשרת בלוח המחוונים
ערובת פרטיות¶
כל התאמת הכללים: - מתרחשת באופן מקומי על המכשיר - אינה מתקשרת עם שירותים חיצוניים - משתמשת אך ורק בנתוני אירועים מוצפנים - לעולם אינה מעלה יומנים, כללים או התאמות דפוסים
סיכום¶
מנוע התאמת הכללים של Nyroxis מביא זיהוי מובנה בסגנון SIEM לנקודות קצה אישיות — בשלוש שכבות, גדל ברציפות וניתן להרחבה על ידי אנשי אבטחה מקצועיים — ללא תלות בענן או פשרה על הפרטיות.