نیازمندی‌های نصب کنسول سرور EDR (پادویش)

معرفی ماژول‌های EDR

سامانه EDR پادویش شامل چندین ماژول مختلف می‌باشد که بسته به لایسنس قابل انتخاب می‌باشند. این ماژول‌ها شامل موارد زیر است:

  • ماژول اصلی EDR
    این ماژول شامل ماژول‌های اصلی EDR یعنی سنسورها، هشدار، شکار تهدید، پویش و … می‌باشد که کارکرد اصلی EDR یعنی تشخیص و مقابله را شکل می‌دهد.
  • ماژول کتابخانه فایل (File Library)
    ماژول کتابخانه فایل وظیفه جمع‌آوری فایل‌های اجرایی از تمامی کلاینت‌های EDR را جهت انجام عملیات تحلیلی برعهده دارد. این کتابخانه سرویس پایه‌ای ارائه می‌دهد که بر پایه آن فایل‌ها به صورت خودکار جمع‌آوری، نگهداری و به ماژول‌های تحلیلی مانند MultiAV، سندباکس و تحلیل ایستای فایل ارسال می‌شوند و نتایج تحلیل فایل را نیز در خود نگهداری می‌کند.
  • ماژول Multi-AV
    ماژول Multi AV همانگونه که از اسم آن مشخص است وظیفه پویش فایل‌ها توسط آنتی‌ویروس‌های مختلف و ارائه نتایج آنها را برعهده دارد. یکی از سریعترین راه‌ها برای تشخیص بدافزارهای کم‌تشخیص، استفاده از این تکنیک می‌باشد. به کمک این ماژول قدرت تشخیص آنتی‌ویروس‌ها ترکیب می‌شود، به این ترتیب که نتایج تشخیص همه آنتی‌ویروس‌ها با همدیگر ترکیب شده و دقت تشخیص حاصل تجمیع آنها خواهد بود.
  • ماژول سندباکس (Sandbox)
    ماژول سندباکس سرویس تحلیل پویای فایل را ارائه می‌دهد. این سرویس یکی از بهترین روش‌های خودکار برای تشخیص بدافزارهای کاملا ناشناخته مي‌باشد. در این روش تشخیص، فایل به یک محیط ایزوله (سندباکس) منتقل شده و در آنجا اجرا می‌شود. رفتار دقیق فایل زیر ذره‌بین قرار گرفته و انواع عملیات مشکوک یا غیرمشکوک آن لاگبرداری و گزارش می‌شود. نتیجه نهایی به کاربر کمک می‌کند تا تشخیص دهد که فایل اجرایی مخرب بوده است یا خیر، و اینکه محدوده عملیات آن چه بوده است.
  • ماژول‌های تحلیل ایستای فایل (File Static Analyzers)
    ماژول تحلیل ایستای فایل، وظیفه ارائه یک تحلیل ساختاری (ایستا) از فایل‌های مورد بررسی را برعهده دارد. موتورهای این ماژول به تفکیک نوع فایل و سیستم‌عامل هدف تقسیم‌بندی شده و جداگانه قابل انتخاب مي‌باشد. (ویندوزی، لینوکسی، اندرویدی) این ماژول موتورهای تحلیل متفاوت و متنوعی را داراست که اطلاعاتی از قبیل اطلاعات امضای دیجیتال، کتابخانه‌های اجرایی مورد استفاده، رشته‌های مهم، پک و رمزشده بودن/نبودن، نوع ماشین اجرایی و… را از فایل استخراج کرده و اطلاعات آن را جهت تحلیل در اختیار کاربر قرار می‌دهد.

نحوه استفاده از این مقاله

با توجه به ماژول‌هایی که در لایسنس شما تعریف شده‌اند، تعداد کاربر (نقطه پایانی)، مدت نگهداری لاگ‌ها و فایل‌ها، و حجم رویداد/فایل تولیدشده در سازمان شما نیازمندی نصب متفاوت می‌باشد. در این مقاله تلاش شده است که حداقل‌های مناسب برای یک شبکه با کاربردهای معمول معرفی گردد.

جهت سادگی کار شما، مقاله به بخش‌های زیر تقسیم شده است:

  1. نیازمندی نصب EDR Base: این بخش نیازمندی‌های حداقلی نصب ساده‌ترین لایسنس EDR یعنی EDR Base را پوشش می‌دهد. در این نسخه فقط ماژول‌های اصلی وجود دارند و ماژول‌هایی مانند MultiAV و سندباکس وجود ندارد.
  2. نیازمندی نصب ماژول‌های افزودنی: در این بخش نیازمندی هر ماژول به تفکیک آورده شده است که باید با نیازمندی‌های پایه جمع گردند.

نکات نصب

  1. به طور کلی جهت نصب شما به یک یا چند ماشین مجازی نیاز دارید. (به جز ماژول سندباکس)
  2. ماژول سندباکس استثنائا باید روی سخت‌افزار فیزیکی (Bare Metal) مجزا راه‌اندازی گردد
  3. نصب و راه‌اندازی EDR Base می‌تواند بر روی یک یا چند سرور لینوکسی انجام شود. اما ماژول MultiAV نیازمند ماشین‌های ویندوزی می‌باشد.
  4. در صورت وجود سرویس‌های SQL Server و Elasticsearch در شبکه و داشتن ظرفیت پردازشی کافی، می‌توان از سرویس‌های موجود استفاده کرد. (نیازمندی‌های موجود در این مستند با احتساب نیازمندی راه‌اندازی کامل این سرویس‌ها تهیه شده است)
  5. برای کاهش فشار بر روی سرور و بهره‌برداری بهینه از منابع، می‌توانید ماشین‌های مجازی را بین سرورهای مختلف تقسیم کنید.
  6. توصیه ما استفاده از هاردهای SSD یا NVMe جهت ذخیره‌سازی ElasticSearch می‌باشد. اما بخش ماژول کتابخانه فایل می‌تواند روی هاردهای معمولی مستقر گردد.
تمامی مشخصات زیر برای نگهداری اطلاعات کلاینت ها برای 30 روز می‌باشد

نیازمندی نصب

EDR Base

این بسته فاقد ماژول FAM، کتابخانه فایل، MultiAV و … می‌باشد و صرفا یک EDR خالص می‌باشد.

Network (Mbps)

SSD(GB)

HDD(GB)

CPU(Core)

RAM (GB)

Estimated EPS

Clients

2.4 10 650 4 19 300 1,000
4.8 20 1,200 4 20 600 2,000
12 50 3,000 5 22 1,500 5,000
24 100 6,000 6 26 3,000 10,000
48 200 12,000 8 34 6,000 20,000
120 500 30,000 14 58 15,000 50,000
مشخصات فوق برای کارکرد معمول بوده و بسته به بار تولیدی رویداد در سیستم‌ها برای شبکه‌های مختلف متفاوت خواهد بود

ماژول File Library

Clients FPD RAM (GB) CPU (Core) HDD (GB) Network (Mbps)
         1,000          1,000                   2                    2                               10 0.026
         2,000          2,000                   2                    2                               20 0.053
         5,000          5,000                   2                    2                               50 0.132
       10,000        10,000                   2                    2                             100 0.265
       20,000        20,000                   2                    2                             200 0.530
       50,000        50,000                   2                    2                             500 1.325
  • مقادیر مشخصات فوق باید با مقادیر EDR Base و سایر ماژول‌های مورد استفاده جمع گردد.
  • حجم تغییرات فایل‌های اجرایی (FPD: File Per Day) به صورت میانگین بلندمدت در شرایط معمول محاسبه گردیده است. لذا اعداد فوق باید به صورت حداقلی در نظر گرفته شوند.
  • میزان حجم هارد مورد اختصاص برای آرشیو فایل‌ها می‌باشد و در صورتی که نیازی به آرشیو بلند مدت نباشد فایل‌های جدید جایگزین قبلی‌ها می‌شوند.

ماژول Multi-AV

Clients FPD RAM (GB) CPU (Core) HDD (GB) Network (Mbps)
10,000 14,400 2 2 25
20,000 28,800 4 4 50
50,000 72,000 10 10 125
  • این مقادیر به ازای هر آنتی‌ویروس باید تکرار شود. اگر از هر ۶ آنتی‌ویروس استفاده می‌شود باید ضربدر ۶ گردد.
  • مقادیر مشخصات فوق باید با مقادیر EDR Base و سایر ماژول‌های مورد استفاده جمع گردد.
  • حجم تغییرات فایل‌های اجرایی (FPD: File Per Day) به صورت میانگین بلندمدت در شرایط معمول محاسبه گردیده است. لذا اعداد فوق باید به صورت حداقلی در نظر گرفته شوند.
  • این ماژول باید با ماژول File Library استفاده گردد و هر FPD برای آن ماژول در نظر گرفته می‌شود در این خصوص نیز اعمال گردد.

ماژول File Static Analyzers

Clients FPD RAM (GB) CPU (Core) HDD(GB) Network (Mbps)
10,000 144,000 2 1 25
20,000 288,000 4 2 50
50,000 720,000 10 5 125
  • مقادیر مشخصات فوق باید با مقادیر EDR Base و سایر ماژول‌های مورد استفاده جمع گردد.
  • حجم تغییرات فایل‌های اجرایی (FPD: File Per Day) به صورت میانگین بلندمدت در شرایط معمول محاسبه گردیده است. لذا اعداد فوق باید به صورت حداقلی در نظر گرفته شوند.
  • این ماژول باید با ماژول File Library استفاده گردد و هر FPD برای آن ماژول در نظر گرفته می‌شود در این خصوص نیز اعمال گردد.

ماژول SandBox

Clients FPD RAM (GB) CPU (Core) HDD(GB)
1,000 1,000 6 4 45
2,000 2,000 8 6 70
5,000 5,000 14 12 145
10,000 10,000 24 22 270
20,000 20,000 44 42 520
50,000 50,000 104 102 1,270
  • مشخصات فوق در قالب مشخصات ماشین فیزیکی (هاست) مورد نیاز می‌باشد
  • مقادیر مشخصات فوق باید با مقادیر EDR Base و سایر ماژول‌های مورد استفاده جمع گردد.
  • این ماژول باید با ماژول File Library استفاده گردد.
  • اعداد جدول یک برآورد منطقی و معمول می‌باشد. ارسال فایل به سندباکس بر اساس نظر ادمین صورت می‌گیرد و لذا در صورت نیاز می‌توانید ماشین قوی‌تر یا ضعیف‌تر از سطر مربوط به خود را انتخاب نمایید.

EDR Expert

Clients EPS RAM (GB) CPU Core HDD(GB) SSD (GB) Network (Mbps)
1,000 300 41 23 850 10 2.4
2,000 600 44 25 1,485 20 4.8
5,000 1,500 52 32 3,390 50 12
10,000 3,000 66 43 6,565 100 24
  • اعداد زیر بر اساس جداول بالا و با فرض ۶ آنتی‌ویروس محاسبه شده‌اند و برای سادگی کار در اینجا قرار گرفته‌اند. تمامی نکات مطرح شده در موارد فوق در اینجا نیز باید لحاظ گردد.
  • بخشی از مشخصات فوق که مربوط به ماژول سندباکس است باید به صورت فیزیکی تهیه شود و مابقی به صورت مجازی قابل تهیه است.
  • نکات گفته شده در خصوص EPS و FPD و تخمین‌های مربوطه که در ماژول‌های فوق گفته شد در نظر گرفته شود.