Splunk, tehlikeye atılan kimlik bilgilerinin, Siber güvenlik olaylarının yarısından fazlasında ilk erişim için birincil vektör olarak kaldığı ve Cisco Talos IR eğilimleri raporunda belirtildiği gibi, Verizon veri ihlali araştırmaları raporu tarafından desteklenen bir dünyada plob’u (logon sonrası davranış parmak izi ve tespit) tanıttı.
Bu yenilikçi araç, kimlik bilgisi kötüye kullanımını gösteren anormal faaliyetleri tanımlamak için kritik kritik logon sonrası penceresini hedefler ve rakipler ağlara derinlemesine gömülmeden önce tehditleri tespit etmeyi amaçlamaktadır.
Uzun süreli tespit edilmemiş erişim için meşru kimlik bilgilerinden yararlanan gelişmiş kalıcı tehditlere (APT’ler) karşı koymak için, Plob, erken evre tehdit avını geliştirmek için grafik tabanlı modelleme, AI gömme ve vektör benzerlik aramalarını entegre etmek, mevcut kural temelli, davranış temelli ve LOL (LOL), araziyi yaşamaya yönelik olarak konumlandırmak için.
Teknik mimarlık
Plob, Splunk veya benzeri SIEM sistemlerinden ham güvenlik günlüklerini yutarak, bunları kullanıcılar, ana bilgisayarlar, oturumlar ve süreçler arasındaki karmaşık ilişkileri yakalayan bir Neo4J grafik veritabanına dönüştürmekle başlar.
Bu grafik merkezli yaklaşım, savunucuları doğrusal olay listelerinden ilişkisel anlatılara kaydırarak, işlem ağaçlarının oturum açma olaylarından izleme gibi olumsuz düşünceyi yansıtan sorguları sağlar.
Bu modelden, PLOB, komutlarda yeniliği vurgulayan davranışsal parmak izleri özlü metin özetleri üretir, otomasyonu öneren yürütme temposu ve aşırı süreç yumurtlama gibi yapısal anomaliler.
Bu parmak izleri daha sonra, hassas davranış gösterimi için semantik nüansları kodlayan Openai’nin metin gömme-3-büyük model kullanılarak 3072 boyutlu vektörlere dönüştürülür.
Milvus vektör veritabanında depolanan bu eklemeler, kosinüs benzerliği yoluyla verimli benzerlik aramalarını kolaylaştırır, aykırı değerleri (benzersiz davranışlar için 0.92’nin altında puanlar) ve kümeleri (şüphesiz tekrarlayan desenler için 0.99’un üzerindeki puanlar, scriptred saldırıların göstergesi) kolaylaştırır.
Sistemin etkinliği, kritik sinyalleri güçlendiren ve kötü niyetli LOL faaliyetlerinin iyi huylu yönetici görevleriyle harmanlandığı ilk başarısızlıkları ele alan rafine parmak izi mühendisliğinden kaynaklanmaktadır.
Yeni yürütülebilir ürünler veya hızlı zamanlamalar gibi şüpheli öğeleri önden yükleyerek, gömlekler ince tehditleri daha iyi ayırt eder, eşikler veri kayması ortasında yanlış pozitiflere karşı hassasiyeti dengelemek için ayarlanmıştır.
Anormal seanslar, Cisco’nun Foundation SEC modeline ve Openai’nin GPT-4O’suna dayanan AI ajanları tarafından analiz edilir, bu da aykırı değerlere özgü anormallik türlerine veya JSON formatında yapılandırılmış risk değerlendirmeleri ve akıl yürütme için kümelerin tekrarlanmasına odaklanan bağlamlara duyarlı istemler alır.
Geleneksel savunmalarda köprü boşluğu
Temel çizelere veya eğitim verilerine bağlı olarak yeni veya otomatik tehditlere dayanan geleneksel tespitlerin aksine, Plob’un logon sonrası etkinliğe hafif odaklanması kapsamlı geçmiş veriler olmadan hızlı bilgiler sağlar.
Bu grafik-vektör boru hattı sadece araştırmaları hızlandırmakla kalmaz, aynı zamanda proaktif avcılık ve görselleştirmeleri de destekler, bu da savunucuların grafiklerden yararlanırken savunucuların listelerle sınırlı olduğu fikrine meydan okur.
Rapora göre, Splunk’un gerçek dünya veri zorlukları ve işbirlikleri tarafından bilgilendirilmesi, Mantiant’ın M-Trendleri 2025 raporunda, ilk vektörlerin% 16’sında kimlikleri aşan çalınan kimlik bilgilerini belirten yaygın kimlik bilgisi risklerini yönetmede uyarlanabilir araçlara duyulan ihtiyacın altını çiziyor.
Kuruluşlar gelişen Apt taktikleriyle boğuştukça Plob, topluluk geliştirme için ölçeklenebilir, açık bir çerçeve sunar, potansiyel olarak bekleme sürelerini azaltır ve yüksek bahisli ortamlarda ihlalleri hafifletir.
The Ultimate SOC-as-a-Service Pricing Guide for 2025– Ücretsiz indir