نشر حل كشف التسلل القائم على المضيف
الوصف
نشر حل كشف التسلل القائم على المضيف على أصول المؤسسة حيثما كان ذلك مناسبًا و/أو مدعومًا.
قائمة التحقق من التطبيق
توصيات الأدوات
اكتشاف الشبكة والاستجابة المدعوم بالذكاء الاصطناعي مع تحليل التهديدات ذاتي التعلم والاستجابة المستقلة
Darktrace · اشتراك مؤسسي
اكتشاف التهديدات والاستجابة المدعوم بالذكاء الاصطناعي للشبكة والسحابة والهوية مع استخبارات إشارات الهجوم
Vectra AI · اشتراك مؤسسي
منصة اكتشاف الشبكة والاستجابة مع تحليل حركة المرور في الوقت الفعلي وفحص حركة المرور المشفرة والرؤية السحابية
ExtraHop · اشتراك لكل جهاز أو حسب عرض النطاق
منصة تحليل حركة مرور الشبكة تستخدم النمذجة السلوكية والتعلم الآلي لاكتشاف التهديدات والشذوذ
Cisco · اشتراك لكل تدفق
التهديدات والثغرات (CIS RAM)
سيناريوهات التهديد
تنفيذ برمجيات خبيثة بدون ملفات على نقاط نهاية غير مراقبة
السريةينشر مهاجم برمجيات خبيثة بدون ملفات باستخدام PowerShell أو WMI تعمل بالكامل في الذاكرة، متهربة من الكشف على مستوى الشبكة لأنه لا يوجد حل كشف تسلل مستند إلى المضيف يراقب سلوك العمليات.
جمع بيانات اعتماد من تهديد داخلي على نقاط النهاية
السريةيثبت مطلع خبيث أدوات جمع بيانات الاعتماد أو راصدات لوحة المفاتيح على محطة عمله، التي لا تُكتشف بدون كشف تسلل مستند إلى المضيف يراقب نشاط النظام المحلي.
استمرار rootkit بدون كشف على مستوى المضيف
السلامةيثبت مهاجم rootkit على مستوى النواة يستمر عبر إعادات التشغيل ويخفي العمليات الخبيثة من أدوات نظام التشغيل القياسية، ويبقى غير مرئي بدون HIDS مخصص يفحص سلامة النظام.
الثغرات (عند غياب الإجراء الوقائي)
عدم وجود رؤية لمؤشرات الهجوم على مستوى المضيف
بدون كشف تسلل مستند إلى المضيف، تمر عمليات التنفيذ المشبوهة وتغييرات سلامة الملفات وتعديلات السجل على نقاط النهاية الفردية دون مراقبة، مما يسمح للمهاجمين بالعمل بحرية بعد الاختراق.
عدم القدرة على كشف التهديدات المقيمة في الذاكرة
بدون قدرات HIDS، لا يمكن تحديد الهجمات التي لا تلمس القرص مثل الاستغلالات في الذاكرة وتقنيات استخدام أدوات النظام المدمجة وحقن العمليات على مستوى نقطة النهاية.
متطلبات الأدلة
| النوع | عنصر الدليل | تكرار الجمع |
|---|---|---|
| وثيقة | وثيقة السياسة الحاكمة (حالية، معتمدة، مُبلغة) | يُراجع سنوياً |