هر نمایه امنیتی، ماژول های امنیتی متعددی را برای محافظت از نقاط انتهایی خود از طیف گسترده ای از تکنیک های حمله اعمال می کند. در حالی که تنظیمات برای هر ماژول قابل تنظیم نیست، تله ها یک ماژول حفاظت خاص را بسته به نوع حمله، پیکربندی سیاست امنیتی و سیستم عامل نقطه پایانی فعال می کند. هنگامی که رخداد امنیتی رخ می دهد، تله ها جزئیات مربوط به رویداد از جمله ماژول امنیتی که توسط تله ها استفاده می شود، برای شناسایی و جلوگیری از حمله بر اساس تکنیک ثبت می شود. برای کمک به ماهیت حمله، سرویس مدیریت تله ها، ماژول حفاظت را شناسایی می کند. تله های مورد استفاده در جزئیات رویداد امنیت .
جدول زیر لیست ماژول ها و سیستم عامل هایی است که پشتیبانی می شوند. یک تیک (-) نشان می دهد که ماژول پشتیبانی نمی شود.
|
ماژول
|
پنجره ها
|
مک
|
لینوکس
|
اندروید
|
|---|---|---|---|---|
| ضد Ransomware
هدف فعالیت مبتنی بر رمزگذاری در ارتباط با ransomware است و توانایی تجزیه و تحلیل فعالیت های ransomware را قبل از اینکه از دست رفتن داده ها رخ دهد، متوقف کند.
|
 |
– | – | – |
| حفاظت APC
جلوگیری از حملات که باعث تغییر دستور فرآیند یک فرایند با هدایت یک فراخوانی روش نامتقارن (APC) برای نشان دادن شلختگی مخرب می شود.
|
|
– | – | – |
| تهدید رفتاری
مانع از حملات پیچیده است که اهرم های داخلی ساخته شده در سیستم عامل و سرویس های مدیریت عمومی را از طریق پیگیری فعالیت های پایه برای زنجیره های عصبی مخرب نظارت می کند.
|
|
|
–
|
–
|
| حفاظت از خشونت
مانع از حمله کنندگان به ربودن جریان کنترل فرآیند با نظارت بر تلاش های شمارش طرح حافظه می شود.
|
– | – |
|
– |
| حفاظت از فرآیند کودک
از حملات مبتنی بر اسکریپت که برای ارائه نرم افزارهای مخرب مانند ransomware استفاده می شود، مانع فرآیندهای شناخته شده هدف از راه اندازی پرونده های کودک می شود که معمولا برای دور زدن روش های امنیتی سنتی استفاده می شود.
|
|
– | – | – |
| حفاظت CPL
محافظت در برابر آسیب پذیری های مربوط به روال نمایشگر برای تصاویر میانبر ویندوز CAL (کنترل پنل کنترل پنل ویندوز)، که می تواند به عنوان یک بردار عفونت مخرب مورد استفاده قرار گیرد.
|
|
– | – | – |
| پیشگیری از اجرای داده ها (DEP)
جلوگیری از حوزه های حافظه تعریف شده تنها حاوی اطلاعاتی از اجرای کد اجرایی است.
|
|
– | – | – |
| ربودن DLL
جلوگیری از حملات ربودن DLL که مهاجم سعی می کند کتابخانه های پویا را در سیستم عامل های ویندوز از مکان های ناامن بارگذاری کند تا کنترل یک فرآیند را به دست بگیرد.
|
|
– | – | – |
| DLL Security
جلوگیری از دسترسی به ابرداده حیاتی DLL از مکان های نامعتبر کد.
|
|
– | – | – |
| ربودن Dylib
حملات ربودن Dylib را در جایی که مهاجم تلاش می کند تا کتابخانه های پویا را در سیستم عامل های Mac از مکان های ناامن بارگیری کند تا کنترل فرآیند را از بین ببرد، جلوگیری می کند.
|
– |
|
– | – |
| کیت بهره برداری از اثر انگشت
محافظت در برابر تکنیک انگشت نگاری استفاده شده توسط کیت های بهره برداری مرورگر برای شناسایی اطلاعات مانند سیستم عامل و یا برنامه های کاربردی که بر روی نقطه پایانی اجرا می شوند – مهاجمان می توانند در هنگام حمله ای که برای از بین بردن قابلیت های حفاظت می توانند استفاده کنند.
|
|
– | – | – |
| حفاظت از قلم
جلوگیری از مدیریت فونت نامناسب، یک هدف مشترک از سوء استفاده.
|
|
– | – | – |
| بهبود دروازهبان
افزایش عملکرد ماکروسافت دروازه ای که اجازه می دهد تا برنامه ها بر اساس امضای دیجیتالی خود اجرا کنند. این ماژول یک لایه حفاظتی اضافی را با گسترش قابلیت دروازه کاربری به فرآیندهای فرزند فراهم می کند، بنابراین می توانید سطح امضا انتخاب خود را اجرا کنید.
|
– |
|
– | – |
| استثناء هش
اعدام پرونده هایی که یک مدیر به عنوان بدافزار شناخته می شود بدون توجه به حکم WildFire متوقف می شود.
|
|
|
– | – |
| پچ حفاظت داغ
جلوگیری از استفاده از توابع سیستم برای دور زدن DEP و آدرس تصادفی طرح فضایی (ASLR).
|
|
– | – | – |
| JIT
جلوگیری از حمله مهاجم به دور زدن کاهش حافظه سیستم عامل با استفاده از موتورهای کامپایل درست در زمان (JIT).
|
|
|
– | – |
| تجزیه و تحلیل محلی
صدها ویژگی از یک فایل اجرایی ناشناخته، DLL، یا ماکرو را بررسی می کند تا تعیین کند آیا احتمال دارد که این بدافزار باشد. ماژول تجزیه و تحلیل محلی با استفاده از یک مدل آماری است که با استفاده از یادگیری ماشین در هوش مصنوعی WildFire توسعه داده شد.
|
|
|
– | – |
| حفاظت تشدید امتیازات محلی
مهاجمان را از انجام فعالیتهای مخرب که نیاز به امتیازات بالاتر از آنهایی که به فرآیند حمله یا مخرب اختصاص داده شده، جلوگیری می کند.
|
|
|
|
– |
| ارزیابی Null
جلوگیری از کد گذاری مخرب از نقشه برداری برای رفع صفر در فضای حافظه، باعث می شود آسیب پذیری ناقص ناپذیری غیرقابل استفاده شود.
|
|
– | – | – |
| اعدام محدود شده – مسیر محلی
از اجرای محلی غیر مجاز جلوگیری می کند.
|
|
– | – | – |
| اعدام محدود – محل شبکه
جلوگیری از اجرای غیرمجاز از یک مسیر شبکه
|
|
– | – | – |
| اعدام محدود – رسانه های قابل حذف
از اعدام غیر مجاز از رسانه قابل جدا شدن جلوگیری می کند.
|
|
– | – | – |
| حفاظت معکوس شل
فعالیت های مخرب را که مهاجم به جریان ورودی و خروجی استاندارد به سوکت های شبکه هدایت می کند متوقف می کند.
|
– | – |
|
– |
| ROP
محافظت در برابر استفاده از برنامه ریزی بازگشتی (ROP) با حفاظت از API ها در زنجیره ROP استفاده می شود.
|
|
|
|
– |
| SEH
مانع از ربودن دستیار استثنایی ساختار یافته (SEH)، یک ساختار کنترل معمول استثمار شده است که می تواند شامل چندین بلوک SEH باشد که یک زنجیره لیست پیوندی را تشکیل می دهند که حاوی توالی سوابق عملکرد است.
|
|
– | – | – |
| حفاظت Shellcode
ذخایر و محافظت از مناطق خاصی از حافظه که معمولا برای حمل بار با استفاده از تکنیک های اسپری پشته استفاده می شود.
|
– | – |
|
– |
| ShellLink
از آسیب پذیری منطقی پوسته لینک جلوگیری می کند.
|
|
– | – | – |
| SysExit
مانع استفاده از تماس های سیستم برای جلوگیری از قابلیت های دیگر حفاظت.
|
|
– | – | – |
| UASLR
ASLR (تصحیح تصحیح فضای آدرس) با آنتروپی بیشتر، قابلیت اطمینان و اجرای دقیق را بهبود می بخشد یا در مجموع آن را اجرا می کند.
|
|
– | – | – |
| WildFire
WildFire را برای هوش تهدید می کند تا تعیین کند آیا یک فایل بدافزار است یا خیر. در مورد فایل های ناشناخته، خدمات مدیریت تله ها می توانند نمونه ها را برای تحلیل عمیق به WildFire منتقل کنند.
|
|
|
|
|
| Wildfire پس از شناسایی (تروجان و نرم افزار خاکستری)
شناسایی یک فایل که قبلا مجاز به اجرا در یک نقطه پایانی است که در حال حاضر مشخص شده به عنوان نرم افزارهای مخرب است. حوادث پس از تشخیص ارائه اطلاعیه برای هر نقطه پایان که در آن فایل اجرا شد.
|
|
|
|
|