معرفی

این سامانه بصورت عامل نرم افزاری در سطح میزبانهای حساس شبکه سازمانها نظير سرورها، نصب و راه اندازی شده و رفتارهای پرمخاطره امنیتی سطح میزبان را استخراج نموده و جهت تحلیل و همبستگی با سایر رویدادهای شبکه، به سامانه مرکزی راوین منتقل می کند. سامانه Ravin EDR حسگر لایه میزبان Ravin SIEM محسوب می گردد.

مزايای Ravin EDR عبارتست از:

  • قابلیت استفاده روی سکوهای مختلف ويندوز
  • استفاده از پروتکل استاندارد جهت تعامل با مراکز عملیات امنیت نظير Ravin SIEM
  • شفافیت و سهولت استفاده

ویژگی‌ها

فعالیت در سطح هسته

  • رهگیری کلیه فعالیت‌ها در سطح هسته سیستم عامل
  • غیرقابل دور زدن توسط برنامه‌های مخرب
رهگيری و ثبت وقايع مربوط به پردازه ها

  • ایجاد و حذف پردازه ها
  • تزریق و تغییر پردازه‌ها
رهگيری و ثبت وقايع فایل سیستم

  • ایجاد و حذف فایل
  • دسترسی به فایل
  • تغییر نام یا مشخصات فایل
  • تغییر محتوای فایل
 رهگيری و ثبت وقایع مربوط به رجیستری ویندوز

  • ایجاد يا حذف کليد
  • تغییر مقدار یک فیلد با قابلیت انتخاب برای کلید خاص
رهگيری و ثبت وقايع مربوط به سرویسها

  • ایجاد، حذف و تغییر سرویس‌های سیستم عامل
  • ایجاد، حذف و تغییر سرویس‌های کاربر
جمع آوری وقایع سیستم و ارسال به Ravin SIEM

  • دریافت وقايع از سطح سیستم عامل ویندوز
  • ارسال وقايع با استفاده از پروتکل Syslog به سامانه Ravin SIEM

کاربردها

کاربرد Ravin EDR عبارتست از:

  • شناسايی رفتارهای پرمخاطره و مشکوک سطح ميزبان های حساس نظیر سرورهای سازمان
  • جمع آوری وقايع حساس سطح میزبان و ارسال به مرکز عمليات امنیت (Ravin SIEM)