معرفی ماژولهای EDR
سامانه EDR پادویش شامل چندین ماژول مختلف میباشد که بسته به لایسنس قابل انتخاب میباشند. این ماژولها شامل موارد زیر است:
- ماژول اصلی EDR
این ماژول شامل ماژولهای اصلی EDR یعنی سنسورها، هشدار، شکار تهدید، پویش و … میباشد که کارکرد اصلی EDR یعنی تشخیص و مقابله را شکل میدهد. - ماژول کتابخانه فایل (File Library)
ماژول کتابخانه فایل وظیفه جمعآوری فایلهای اجرایی از تمامی کلاینتهای EDR را جهت انجام عملیات تحلیلی برعهده دارد. این کتابخانه سرویس پایهای ارائه میدهد که بر پایه آن فایلها به صورت خودکار جمعآوری، نگهداری و به ماژولهای تحلیلی مانند MultiAV، سندباکس و تحلیل ایستای فایل ارسال میشوند و نتایج تحلیل فایل را نیز در خود نگهداری میکند. - ماژول Multi-AV
ماژول Multi AV همانگونه که از اسم آن مشخص است وظیفه پویش فایلها توسط آنتیویروسهای مختلف و ارائه نتایج آنها را برعهده دارد. یکی از سریعترین راهها برای تشخیص بدافزارهای کمتشخیص، استفاده از این تکنیک میباشد. به کمک این ماژول قدرت تشخیص آنتیویروسها ترکیب میشود، به این ترتیب که نتایج تشخیص همه آنتیویروسها با همدیگر ترکیب شده و دقت تشخیص حاصل تجمیع آنها خواهد بود. - ماژول سندباکس (Sandbox)
ماژول سندباکس سرویس تحلیل پویای فایل را ارائه میدهد. این سرویس یکی از بهترین روشهای خودکار برای تشخیص بدافزارهای کاملا ناشناخته ميباشد. در این روش تشخیص، فایل به یک محیط ایزوله (سندباکس) منتقل شده و در آنجا اجرا میشود. رفتار دقیق فایل زیر ذرهبین قرار گرفته و انواع عملیات مشکوک یا غیرمشکوک آن لاگبرداری و گزارش میشود. نتیجه نهایی به کاربر کمک میکند تا تشخیص دهد که فایل اجرایی مخرب بوده است یا خیر، و اینکه محدوده عملیات آن چه بوده است. - ماژولهای تحلیل ایستای فایل (File Static Analyzers)
ماژول تحلیل ایستای فایل، وظیفه ارائه یک تحلیل ساختاری (ایستا) از فایلهای مورد بررسی را برعهده دارد. موتورهای این ماژول به تفکیک نوع فایل و سیستمعامل هدف تقسیمبندی شده و جداگانه قابل انتخاب ميباشد. (ویندوزی، لینوکسی، اندرویدی) این ماژول موتورهای تحلیل متفاوت و متنوعی را داراست که اطلاعاتی از قبیل اطلاعات امضای دیجیتال، کتابخانههای اجرایی مورد استفاده، رشتههای مهم، پک و رمزشده بودن/نبودن، نوع ماشین اجرایی و… را از فایل استخراج کرده و اطلاعات آن را جهت تحلیل در اختیار کاربر قرار میدهد.
نحوه استفاده از این مقاله
با توجه به ماژولهایی که در لایسنس شما تعریف شدهاند، تعداد کاربر (نقطه پایانی)، مدت نگهداری لاگها و فایلها، و حجم رویداد/فایل تولیدشده در سازمان شما نیازمندی نصب متفاوت میباشد. در این مقاله تلاش شده است که حداقلهای مناسب برای یک شبکه با کاربردهای معمول معرفی گردد.
جهت سادگی کار شما، مقاله به بخشهای زیر تقسیم شده است:
- نیازمندی نصب EDR Base: این بخش نیازمندیهای حداقلی نصب سادهترین لایسنس EDR یعنی EDR Base را پوشش میدهد. در این نسخه فقط ماژولهای اصلی وجود دارند و ماژولهایی مانند MultiAV و سندباکس وجود ندارد.
- نیازمندی نصب ماژولهای افزودنی: در این بخش نیازمندی هر ماژول به تفکیک آورده شده است که باید با نیازمندیهای پایه جمع گردند.
نکات نصب
- به طور کلی جهت نصب شما به یک یا چند ماشین مجازی نیاز دارید. (به جز ماژول سندباکس)
- ماژول سندباکس استثنائا باید روی سختافزار فیزیکی (Bare Metal) مجزا راهاندازی گردد
- نصب و راهاندازی EDR Base میتواند بر روی یک یا چند سرور لینوکسی انجام شود. اما ماژول MultiAV نیازمند ماشینهای ویندوزی میباشد.
- در صورت وجود سرویسهای SQL Server و Elasticsearch در شبکه و داشتن ظرفیت پردازشی کافی، میتوان از سرویسهای موجود استفاده کرد. (نیازمندیهای موجود در این مستند با احتساب نیازمندی راهاندازی کامل این سرویسها تهیه شده است)
- برای کاهش فشار بر روی سرور و بهرهبرداری بهینه از منابع، میتوانید ماشینهای مجازی را بین سرورهای مختلف تقسیم کنید.
- توصیه ما استفاده از هاردهای SSD یا NVMe جهت ذخیرهسازی ElasticSearch میباشد. اما بخش ماژول کتابخانه فایل میتواند روی هاردهای معمولی مستقر گردد.
تمامی مشخصات زیر برای نگهداری اطلاعات کلاینت ها برای 30 روز میباشد
هر سرور باید برابر با ۱۰ کلاینت لحاظ شود
نیازمندی نصب
EDR Base
این بسته فاقد ماژول FAM، کتابخانه فایل، MultiAV و … میباشد و صرفا یک EDR خالص میباشد.
|
Network (Mbps) |
NVME(GB) |
HDD(GB) |
CPU(Core) |
RAM (GB) |
Estimated FPD |
Estimated EPS |
Clients |
|---|---|---|---|---|---|---|---|
| 4.8 | 500 | 4,000 | 20 | 64 | 1,000 | 2,500 | 1,000 |
| 9.6 | 1,000 | 8,000 | 20 | 128 | 1,000 | 5,000 | 2,000 |
| 24 | 2,500 | 20,000 | 30 | 320 | 1,000 | 10,000 | 5,000 |
| 48 | 5,000 | 40,000 | 40 | 640 | 2,000 | 20,000 | 10,000 |
| 96 | 10,000 | 80,000 | 80 | 1,280 | 4,000 | 40,000 | 20,000 |
| 240 | 25,000 | 200,000 | 300 | 3,200 | 10,000 | 100,000 | 50,000 |
مشخصات فوق برای کارکرد معمول بوده و بسته به بار تولیدی رویداد در سیستمها برای شبکههای مختلف متفاوت خواهد بود
ماژول File Library
| FPD | RAM (GB) | CPU (Core) | HDD (GB) | Network (Mbps) |
|---|---|---|---|---|
| 1,000 | 4 | 2 | 10 | 4.8 |
| 2,000 | 4 | 2 | 20 | 9.6 |
| 4,000 | 4 | 2 | 50 | 24 |
| 10,000 | 4 | 2 | 100 | 48 |
- مقادیر مشخصات فوق باید با مقادیر EDR Base و سایر ماژولهای مورد استفاده جمع گردد.
- حجم تغییرات فایلهای اجرایی (FPD: File Per Day) به صورت میانگین بلندمدت در شرایط معمول محاسبه گردیده است. لذا اعداد فوق باید به صورت حداقلی در نظر گرفته شوند.
- میزان حجم هارد مورد اختصاص برای آرشیو فایلها میباشد و در صورتی که نیازی به آرشیو بلند مدت نباشد فایلهای جدید جایگزین قبلیها میشوند.
ماژول Multi-AV
| FPD | RAM (GB) | CPU (Core) | HDD(GB) | Network (Mbps) |
|---|---|---|---|---|
| 1,000 | 4 | 2 | 64 | 4.8 |
| 2,000 | 4 | 2 | 64 | 9.6 |
| 4,000 | 4 | 2 | 64 | 24 |
| 10,000 | 4 | 2 | 64 | 48 |
- این مقادیر به ازای هر آنتیویروس باید تکرار شود. اگر از هر ۶ آنتیویروس استفاده میشود باید ضربدر ۶ گردد.
- مقادیر مشخصات فوق باید با مقادیر EDR Base و سایر ماژولهای مورد استفاده جمع گردد.
- حجم تغییرات فایلهای اجرایی (FPD: File Per Day) به صورت میانگین بلندمدت در شرایط معمول محاسبه گردیده است. لذا اعداد فوق باید به صورت حداقلی در نظر گرفته شوند.
- این ماژول باید با ماژول File Library استفاده گردد و هر FPD برای آن ماژول در نظر گرفته میشود در این خصوص نیز اعمال گردد.
ماژول Static File Analyzers
| FPD | RAM (GB) | CPU (Core) | HDD(GB) | Network (Mbps) |
|---|---|---|---|---|
| 1,000 | 4 | 2 | 64 | 4.8 |
| 2,000 | 4 | 2 | 64 | 9.6 |
| 4,000 | 4 | 2 | 64 | 24 |
| 10,000 | 4 | 2 | 64 | 48 |
- مقادیر مشخصات فوق باید با مقادیر EDR Base و سایر ماژولهای مورد استفاده جمع گردد.
- حجم تغییرات فایلهای اجرایی (FPD: File Per Day) به صورت میانگین بلندمدت در شرایط معمول محاسبه گردیده است. لذا اعداد فوق باید به صورت حداقلی در نظر گرفته شوند.
- این ماژول باید با ماژول File Library استفاده گردد و هر FPD برای آن ماژول در نظر گرفته میشود در این خصوص نیز اعمال گردد.
ماژول SandBox
| FPD | RAM (GB) | CPU (Core) | HDD(GB) | Network (Mbps) |
|---|---|---|---|---|
| 1,000 | 8 | 8 | 150 | 4.8 |
| 2,000 | 16 | 16 | 300 | 9.6 |
| 4,000 | 32 | 32 | 600 | 24 |
| 10,000 | 80 | 80 | 1,500 | 48 |
- مشخصات فوق در قالب مشخصات ماشین فیزیکی (هاست) مورد نیاز میباشد
- مقادیر مشخصات فوق باید با مقادیر EDR Base و سایر ماژولهای مورد استفاده جمع گردد.
- این ماژول باید با ماژول File Library استفاده گردد.
- اعداد جدول یک برآورد منطقی و معمول میباشد. ارسال فایل به سندباکس بر اساس نظر ادمین صورت میگیرد و لذا در صورت نیاز میتوانید ماشین قویتر یا ضعیفتر از سطر مربوط به خود را انتخاب نمایید.
از آنجاییکه ماژول سندباکس بر اساس سیستم مجازیسازی تعبیهشده در خود عمل میکند، نمیتواند در قالب ماشین مجازی پیادهسازی گردد و نیازمند ماشین فیزیکی (Bare Metal) جهت نصب میباشد.
ماژول File Analysis(شامل تمامی ماژولهای تحلیل فایل)
| FPD | RAM (GB) | CPU Core | HDD(GB) | Network (Mbps) |
|---|---|---|---|---|
| 1,000 | 40 | 24 | 1000 | 4.8 |
| 2,000 | 48 | 32 | 1000 | 9.6 |
| 4,000 | 64 | 48 | 1500 | 24 |
| 10,000 | 112 | 96 | 2500 | 48 |
- اعداد زیر بر اساس جداول بالا و با فرض ۶ آنتیویروس محاسبه شدهاند و برای سادگی کار در اینجا قرار گرفتهاند. تمامی نکات مطرح شده در موارد فوق در اینجا نیز باید لحاظ گردد.
- مشخصات فوق که مربوط به ماژول سندباکس و MultiAV و SFA است و باید به صورت فیزیکی تهیه شود
- نکات گفته شده در خصوص EPS و FPD و تخمینهای مربوطه که در ماژولهای فوق گفته شد در نظر گرفته شود.
نیازمندیهای ارتباطی
| Port |
To |
From |
| 5440 | EDR Collector | Padvish Client |
| 13911 | PMS | Padvish Client |
| 5440 | EDR Collector | PMS |
| 443 | Web Server | User |
| 5413 | Core Service | Web Server |
| SMB, 58XX(5800-5899) | Av Proxy | AV |
| 9092 | Kafka | SFA |
| SMB | FileStorage | SFA |
| 80 | Sandbox | Core Service |