نیازمندی‌های نصب کنسول سرور EDR (پادویش)

معرفی ماژول‌های EDR

سامانه EDR پادویش شامل چندین ماژول مختلف می‌باشد که بسته به لایسنس قابل انتخاب می‌باشند. این ماژول‌ها شامل موارد زیر است:

  • ماژول اصلی EDR
    این ماژول شامل ماژول‌های اصلی EDR یعنی سنسورها، هشدار، شکار تهدید، پویش و … می‌باشد که کارکرد اصلی EDR یعنی تشخیص و مقابله را شکل می‌دهد.
  • ماژول کتابخانه فایل (File Library)
    ماژول کتابخانه فایل وظیفه جمع‌آوری فایل‌های اجرایی از تمامی کلاینت‌های EDR را جهت انجام عملیات تحلیلی برعهده دارد. این کتابخانه سرویس پایه‌ای ارائه می‌دهد که بر پایه آن فایل‌ها به صورت خودکار جمع‌آوری، نگهداری و به ماژول‌های تحلیلی مانند MultiAV، سندباکس و تحلیل ایستای فایل ارسال می‌شوند و نتایج تحلیل فایل را نیز در خود نگهداری می‌کند.
  • ماژول Multi-AV
    ماژول Multi AV همانگونه که از اسم آن مشخص است وظیفه پویش فایل‌ها توسط آنتی‌ویروس‌های مختلف و ارائه نتایج آنها را برعهده دارد. یکی از سریعترین راه‌ها برای تشخیص بدافزارهای کم‌تشخیص، استفاده از این تکنیک می‌باشد. به کمک این ماژول قدرت تشخیص آنتی‌ویروس‌ها ترکیب می‌شود، به این ترتیب که نتایج تشخیص همه آنتی‌ویروس‌ها با همدیگر ترکیب شده و دقت تشخیص حاصل تجمیع آنها خواهد بود.
  • ماژول سندباکس (Sandbox)
    ماژول سندباکس سرویس تحلیل پویای فایل را ارائه می‌دهد. این سرویس یکی از بهترین روش‌های خودکار برای تشخیص بدافزارهای کاملا ناشناخته مي‌باشد. در این روش تشخیص، فایل به یک محیط ایزوله (سندباکس) منتقل شده و در آنجا اجرا می‌شود. رفتار دقیق فایل زیر ذره‌بین قرار گرفته و انواع عملیات مشکوک یا غیرمشکوک آن لاگبرداری و گزارش می‌شود. نتیجه نهایی به کاربر کمک می‌کند تا تشخیص دهد که فایل اجرایی مخرب بوده است یا خیر، و اینکه محدوده عملیات آن چه بوده است.
  • ماژول‌های تحلیل ایستای فایل (File Static Analyzers)
    ماژول تحلیل ایستای فایل، وظیفه ارائه یک تحلیل ساختاری (ایستا) از فایل‌های مورد بررسی را برعهده دارد. موتورهای این ماژول به تفکیک نوع فایل و سیستم‌عامل هدف تقسیم‌بندی شده و جداگانه قابل انتخاب مي‌باشد. (ویندوزی، لینوکسی، اندرویدی) این ماژول موتورهای تحلیل متفاوت و متنوعی را داراست که اطلاعاتی از قبیل اطلاعات امضای دیجیتال، کتابخانه‌های اجرایی مورد استفاده، رشته‌های مهم، پک و رمزشده بودن/نبودن، نوع ماشین اجرایی و… را از فایل استخراج کرده و اطلاعات آن را جهت تحلیل در اختیار کاربر قرار می‌دهد.

نحوه استفاده از این مقاله

با توجه به ماژول‌هایی که در لایسنس شما تعریف شده‌اند، تعداد کاربر (نقطه پایانی)، مدت نگهداری لاگ‌ها و فایل‌ها، و حجم رویداد/فایل تولیدشده در سازمان شما نیازمندی نصب متفاوت می‌باشد. در این مقاله تلاش شده است که حداقل‌های مناسب برای یک شبکه با کاربردهای معمول معرفی گردد.

جهت سادگی کار شما، مقاله به بخش‌های زیر تقسیم شده است:

  1. نیازمندی نصب EDR Base: این بخش نیازمندی‌های حداقلی نصب ساده‌ترین لایسنس EDR یعنی EDR Base را پوشش می‌دهد. در این نسخه فقط ماژول‌های اصلی وجود دارند و ماژول‌هایی مانند MultiAV و سندباکس وجود ندارد.
  2. نیازمندی نصب EDR Expert: این بخش نیازمندی‌های حداقلی جهت نصب نسخه کامل EDR یعنی EDR Expert با تمامی ماژول‌های فوق را شرح می‌دهد.
  3. نیازمندی نصب EDR Select (Base + MultiAV): این بخش نیازمندی‌های حداقلی جهت نصب نسخه پایه، به علاوه ماژول پرطرفدار MultiAV را شرح می‌دهد.

بسته به مورد ممکن است نصب شما شامل ماژول‌های انتخابی‌ای باشد که در سه دسته بالا نگنجد. در این مورد می‌توانید از بسته‌ای استفاده نمایید که حداقل‌های بالاتر را قید کرده است.

نکات نصب

  1. جهت نصب شما به چندین ماشین مجازی نیاز دارید. اما در مورد ماژول سندباکس، این ماژول حتما باید روی سخت‌افزار فیزیکی (Bare Metal) مجزا راه‌اندازی گردد.
  2. نصب و راه‌اندازی EDR Base می‌تواند بر روی یک یا چند سرور لینوکسی انجام شود. اما ماژول MultiAV نیازمند ماشین‌های ویندوزی می‌باشد.
  3. در صورت وجود سرویس‌های SQL Server و Elasticsearch در شبکه و داشتن ظرفیت پردازشی کافی، می‌توان از سرویس‌های موجود استفاده کرد.
  4. برای کاهش فشار بر روی سرور و بهره‌برداری بهینه از منابع، می‌توانید ماشین‌های مجازی را بین سرورهای مختلف تقسیم کنید.
  5. توصیه ما استفاده از هاردهای SSD یا NVMe جهت ذخیره‌سازی ElasticSearch می‌باشد. اما بخش ماژول کتابخانه فایل می‌تواند روی هاردهای معمولی مستقر گردد.
تمامی مشخصات زیر برای نگهداری اطلاعات کلاینت ها برای ۱۲۰ روز می‌باشد

بسته‌های پیشنهادی

EDR Base

این بسته فاقد ماژول FAM، کتابخانه فایل، MultiAV و … می‌باشد و صرفا یک EDR خالص می‌باشد.

 
DISK RAM vCPU EDR Base
500 GB 24 GB 14 Core up to 100 clients
2 TB 25 GB 15 Core up to 500 clients
4 TB 27 GB 15 Core up to 1000 clients
20 TB 120 GB 70 Core up to 5000 clients
مشخصات فوق برای کارکرد معمول بوده و بسته به بار تولیدی رویداد در سیستم‌ها برای شبکه‌های مختلف متفاوت خواهد بود

EDR Expert

این بسته شامل تمامی قابلیت‌های EDR می‌باشد.

 
DISK RAM vCPU EDR Expert
1 TB 44 GB 34 Core up to 100 clients
3 TB 44 GB 34 Core up to 500 clients
5 TB 49 GB 38 Core up to 1000 clients
22 TB 220 GB 170 Core up to 5000 clients
مشخصات فوق برای کارکرد معمول بوده و بسته به بار تولیدی رویداد در سیستم‌ها برای شبکه‌های مختلف متفاوت خواهد بود

EDR Select (Base + MultiAV)

این بسته شامل ماژول EDR, کتابخانه فایل و MultiAV می‌باشد.

EDR Expert vCPU RAM DISK
up to 100 clients 32 Core 42 GB 1T
up to 500 clients 32 Core 42 GB 3T
up to 1000 clients 36 Core 48 GB 5T
up to 5000 clients 160 Core 220 GB 22T
مشخصات فوق برای کارکرد معمول بوده و بسته به بار تولیدی رویداد در سیستم‌ها برای شبکه‌های مختلف متفاوت خواهد بود
توجه کنید که برای سندباکس نیاز به یک ماشین فیزیکی مجزا می‌باشد که در مشخصات فوق لحاظ نشده است.