dc.contributor.advisor | Κοτζανικολάου, Παναγιώτης | |
dc.contributor.author | Ματάκιας, Εμμανουήλ | |
dc.date.accessioned | 2024-03-11T07:32:55Z | |
dc.date.available | 2024-03-11T07:32:55Z | |
dc.date.issued | 2024-02 | |
dc.identifier.uri | https://dione.lib.unipi.gr/xmlui/handle/unipi/16263 | |
dc.identifier.uri | http://dx.doi.org/10.26267/unipi_dione/3685 | |
dc.description.abstract | Τα εργαλεία ανίχνευσης και απόκρισης τελικού σημείου (EDR) παρέχουν ορατότητα σε εξελιγμένες εισβολές ταιριάζοντας τα συμβάντα του συστήματος με γνωστές αντίθετες συμπεριφορές. Ωστόσο, οι τρέχουσες λύσεις υποφέρουν από τρεις προκλήσεις:
● Τα εργαλεία ανίχνευσης και απόκρισης τελικού σημείου (EDR) δημιουργούν μεγάλο όγκο ψευδών συναγερμών, δημιουργώντας συσσωρευμένες εργασίες έρευνας για τους αναλυτές.
● Ο προσδιορισμός της ειλικρίνειας αυτών των ειδοποιήσεων απειλής απαιτεί κουραστική χειρωνακτική εργασία, λόγω του συντριπτικού αριθμού κορμών συστήματος χαμηλού επιπέδου, δημιουργώντας ένα πρόβλημα "βελόνας στ΄άχυρα".
● Εξαιτίας του τεράστιου φόρτου πόρων της διατήρησης αρχείων καταγραφής, στην πράξη τα αρχεία καταγραφής του συστήματος που περιγράφουν μακροχρόνιες εκστρατείες επιθέσεων, συχνά διαγράφονται πριν από την έναρξη μιας έρευνας.
Σκοπός αυτής της διατριβής είναι να αναλύσει τα οφέλη που προκύπτουν, από τα διάφορα εργαλεία ανίχνευσης και απόκρισης τελικού σημείου (EDR). Εισάγουμε την έννοια της πλατφόρμας προστασίας τελικών σημείων (EPP), η οποία είναι μια ολοκληρωμένη λύση ασφαλείας που αναπτύσσεται σε συσκευές τελικού σημείου, για προστασία από απειλές. Θα γίνει μια αναφορά στα προγράμματα προστασίας από ιούς, τα Anti-Virus (AV) και στα προγράμματα προστασίας από ιούς επόμενης γενιάς (NGAV). Θα γίνει μια αναφορά ως προς τις απειλές που διατρέχει ένα τελικό σημείο και τι ζημιά μπορεί να κάνουν αυτές στο τελικό σημείο. Θα εστιάσουμε σε μερικά εμπορικά συστήματα ανίχνευσης και απόκρισης τελικού σημείου (EDR), και θα εστιάσουμε σε τι προσφέρουν στο τελικό μας σημείο. Τέτοιες λύσεις είναι το McAfee MVision EDR, το CrowdStrike Falcon Insight και το Microsoft Defender ATP. Θα εξετάσουμε μερικά από τα συστήματα ανίχνευσης και απόκρισης τελικού σημείου (EDR), ανοιχτού κώδικα. Τέτοια συστήματα είναι το Wazuh, το OpenEDR και το Bluespawn. Θα τα εγκαταστήσουμε σε ορισμένα τελικά σημεία και θα εξετάσουμε το πως συμπεριφέρονται κατά τη διάρκεια μιας εισβολής σε κάποιο από τα συστήματα μας. Η εισβολή θα γίνει με το Caldera. Τέλος θα εξηγήσουμε την αναγκαιότητα των συστημάτων ανίχνευσης και απόκρισης τελικού σημείου, για την ασφάλεια των τελικών σημείων και των δεδομένων. | el |
dc.format.extent | 88 | el |
dc.language.iso | el | el |
dc.publisher | Πανεπιστήμιο Πειραιώς | el |
dc.rights | Αναφορά Δημιουργού-Μη Εμπορική Χρήση-Όχι Παράγωγα Έργα 3.0 Ελλάδα | * |
dc.rights.uri | http://creativecommons.org/licenses/by-nc-nd/3.0/gr/ | * |
dc.title | Μελέτη τεχνολογιών ασφάλειας EDR (Endpoint Detection & Response), EPP (Endpoint Protection Platform) και antivirus | el |
dc.title.alternative | A study of EDR (Endpoint Detection & Response), EPP (Endpoint Protection Platform) and antivirus technologies | el |
dc.type | Master Thesis | el |
dc.contributor.department | Σχολή Τεχνολογιών Πληροφορικής και Επικοινωνιών. Τμήμα Πληροφορικής | el |
dc.description.abstractEN | Endpoint Detection and Response (EDR) tools provide visibility into advanced intrusions by correlating system events with known malicious behaviors. However, current solutions face three challenges:
● EDR tools generate a high volume of false alarms, leading to accumulated research tasks for analysts.
● Verifying the legitimacy of these threat alerts requires labor-intensive work due to the overwhelming number of low-level system logs, creating a "needle in a haystack" problem.
● Due to the massive resource load of maintaining log files, system logs describing long- term attack campaigns are often deleted before an investigation begins.
The goal of this thesis is to analyze the benefits and characteristics of various EDR tools. We introduce the concept of Endpoint Protection Platforms (EPP), which is a comprehensive security solution developed on endpoint devices to protect against threats. We will discuss Anti- Virus programs (AV), next-generation Anti-Virus programs (NGAV), threats to endpoints, and the damage these threats can cause. We will focus on some commercial Endpoint Detection and Response (EDR) systems, such as McAfee MVision EDR, CrowdStrike Falcon Insight, and Microsoft Defender ATP. Additionally, we will examine some open-source EDR systems like Wazuh, OpenEDR, and Bluespawn. These will be installed on specific endpoints, and their behavior during an intrusion, simulated using Caldera, will be analyzed. Finally, we will analyze why Endpoint Detection and Response systems are essential for the proper security of the endpoints and of the relevant data processed by the endpoints. | el |
dc.contributor.master | Κυβερνοασφάλεια και Επιστήμη Δεδομένων | el |
dc.subject.keyword | Σύστηματα ασφαλείας | el |
dc.subject.keyword | EDR | el |
dc.subject.keyword | EPP | el |
dc.subject.keyword | Wazuh | el |
dc.subject.keyword | Bluespawn | el |
dc.subject.keyword | Anti-virus | el |
dc.date.defense | 2024-02-09 | |