ETW là một nguồn tài nguyên tuyệt vời thường chưa được nhiều nhà cung cấp khai thác

Tác nhân AURORA là tác nhân điểm cuối nhẹ và có thể tùy chỉnh dựa trên Sigma. Nó sử dụng tính năng Theo dõi sự kiện cho Windows (ETW) để tạo lại các sự kiện rất giống với các sự kiện do Sysmon của Microsoft tạo ra và áp dụng các quy tắc Sigma cũng như IOC cho chúng. AURORA bổ sung cho tiêu chuẩn Sigma mở bằng “hành động phản hồi” cho phép người dùng phản ứng với trận đấu Sigma. Đó là tất cả mọi thứ mà EDR không có. Nó hoàn toàn minh bạch và có thể tùy chỉnh hoàn toàn nhờ các tệp cấu hình và bộ quy tắc Sigma mở nó tiết kiệm 99% băng thông mạng và dung lượng lưu trữ nó hoạt động hoàn toàn tại chỗ, không có dữ liệu nào rời khỏi mạng của bạn nó có thể được cấu hình để chỉ sử dụng một lượng tài nguyên hạn chế. Chúng tôi cung cấp miễn phí phiên bản dành cho doanh nghiệp và phiên bản “Lite”. Phiên bản miễn phí chỉ sử dụng bộ quy tắc nguồn mở, thiếu các tính năng tiện lợi và quản lý tập trung.

  • Minh bạch 100%: Luôn biết chính xác lý do tại sao quy tắc được kích hoạt và có thể điều chỉnh quy tắc đó theo nhu cầu của mình. Mọi quy tắc đều có mô tả và tài liệu tham khảo giải thích ý định của tác giả. Không có phép thuật học máy nào tạo ra hàng loạt kết quả dương tính giả.
  • Tùy biến cao: Aurora có các quy tắc phát hiện tích hợp cho nhiều giai đoạn của chuỗi tiêu diệt, giải quyết các yêu cầu khác nhau của người dùng. Tuy nhiên, môi trường doanh nghiệp đặc biệt có thể cần các quy tắc và điều chỉnh bổ sung. Aurora cho phép người dùng sửa đổi và thêm các quy tắc mới để đáp ứng những nhu cầu cụ thể này.
  • Chi phí lưu trữ và tải mạng tối thiểu: Khi quá trình khớp xảy ra ở điểm cuối, AURORA chỉ truyền một phần dữ liệu mà các EDR khác tạo ra và truyền đến phần phụ trợ của chúng. Thông thường, bạn sẽ thấy ít hơn 1% tải mạng và dung lượng lưu trữ thông thường được sử dụng bởi dữ liệu nhật ký được thu thập từ các đại lý AURORA.
  • Hoàn toàn tại chỗ: Dữ liệu bí mật của bạn không bao giờ rời khỏi mạng của bạn.
  • Sử dụng tài nguyên hạn chế: AURORA cho phép bạn điều tiết mức sử dụng CPU và tốc độ đầu ra sự kiện. Các tùy chọn điều chỉnh tùy chọn này cho phép bạn đặt mức độ ưu tiên và đặt sự ổn định của hệ thống lên hàng đầu.
  • Phiên bản miễn phí: AURORA Lite là phiên bản giới hạn của AURORA và miễn phí. Đó là một cách tuyệt vời để thử sức. Tất cả những gì chúng tôi yêu cầu là đăng ký nhận bản tin.

Sự khác biệt chính của Sysmon là gì?

AURORA đọc dữ liệu từ nhiều kênh ETW khác nhau và làm phong phú dữ liệu này bằng thông tin trực tiếp để tạo lại các sự kiện rất giống với các sự kiện do Sysmon tạo ra. Khối lượng nhật ký tương đối rất thấp vì AURORA chỉ gửi các sự kiện mà quy tắc Sigma được kích hoạt. AURORA hỗ trợ các kênh đầu ra khác nhau: nhật ký sự kiện Windows, tệp nhật ký, mục tiêu UDP/TCP. Các tính năng điều tiết tích hợp đặt sự ổn định của hệ thống lên hàng đầu. Nó không yêu cầu trình điều khiển kernel bổ sung và do đó gây ra rủi ro hạn chế cho sự ổn định của hệ thống.

—-
𝗦𝗺𝗮𝗿𝘁𝗡𝗲𝘁 𝗧𝗲𝗰𝗵𝗻𝗼𝗹𝗼𝗴𝘆 𝗖𝗼𝗺𝗽𝗮𝗻𝘆 𝗟𝗶𝗺𝗶𝘁𝗲𝗱
📍 Office 412, Dreamland Bonanza Building, 23 Duy Tan Street, My Dinh 2 Ward, Nam Tu Liem District, Hanoi, Vietnam
📍 259 Dong Den Street, 10 Ward, Tan Binh District, HCMC
📞 024 7774 8886
📮 contact@smartnet.net.vn