သံသယဖြစ်ဖွယ် လုပ်ငန်းစဉ်များ စတင်ခြင်းနှင့်ပတ်သက်သည့် ဖြစ်ရပ်များကို စုဆောင်းခြင်းကို ကျွန်ုပ်တို့ ဖွင့်ပေးသည်- Windows Quest InTrust ကို အသုံးပြု၍ ခြိမ်းခြောက်မှုများကို ဖော်ထုတ်ပါ

အဖြစ်အများဆုံး တိုက်ခိုက်မှုအမျိုးအစားတစ်ခုမှာ လုံးဝလေးစားထိုက်သော လုပ်ငန်းစဉ်များအောက်တွင် သစ်ပင်တစ်ပင်တွင် အန္တရာယ်ရှိသော လုပ်ငန်းစဉ်ကို ပေါက်ဖွားခြင်းဖြစ်ပါသည်။ စီမံဆောင်ရွက်နိုင်သော ဖိုင်ဆီသို့ လမ်းကြောင်းသည် သံသယဖြစ်ဖွယ်ရှိနိုင်သည်- malware သည် AppData သို့မဟုတ် Temp ဖိုင်တွဲများကို မကြာခဏ အသုံးပြုလေ့ရှိပြီး ၎င်းသည် တရားဝင်ပရိုဂရမ်များအတွက် ပုံမှန်မဟုတ်ပေ။ တရားမျှတစေရန်အတွက်၊ အချို့သော အလိုအလျောက်အပ်ဒိတ်အသုံးအဆောင်များကို AppData တွင် လုပ်ဆောင်သည်ဟု ဆိုရကျိုးနပ်သည်၊ ထို့ကြောင့် ပရိုဂရမ်သည် အန္တရာယ်ရှိကြောင်း အတည်ပြုရန် မလုံလောက်ပါ။

တရားဝင်မှု၏နောက်ထပ်အချက်တစ်ခုမှာ ကုဒ်ဝှက်သင်္ကေတတစ်ခုဖြစ်သည်- မူရင်းပရိုဂရမ်များစွာကို ရောင်းချသူမှ လက်မှတ်ရေးထိုးထားသည်။ သံသယဖြစ်ဖွယ် startup ပစ္စည်းများကို ဖော်ထုတ်ရန်အတွက် လက်မှတ်မရှိဟူသောအချက်ကို သင်သုံးနိုင်သည်။ သို့သော် ၎င်းကိုယ်တိုင် လက်မှတ်ထိုးရန် ခိုးယူထားသော လက်မှတ်ကို အသုံးပြုသည့် malware လည်း ရှိနေပြန်သည်။

MD5 သို့မဟုတ် SHA256 ၏ လျှို့ဝှက်စာဝှက် hash များ၏တန်ဖိုးကိုလည်း စစ်ဆေးနိုင်သည်၊ ၎င်းသည် ယခင်က တွေ့ရှိထားသော malware အချို့နှင့် ဆက်စပ်နိုင်သည် ။ ပရိုဂရမ်ရှိ လက်မှတ်များကို ကြည့်ခြင်းဖြင့် (Yara စည်းမျဉ်းများ သို့မဟုတ် ဗိုင်းရပ်စ်နှိမ်နင်းရေး ထုတ်ကုန်များ) ကို အသုံးပြု၍ တည်ငြိမ်သော ခွဲခြမ်းစိတ်ဖြာမှုကို သင်လုပ်ဆောင်နိုင်သည်။ ဒိုင်းနမစ်ခွဲခြမ်းစိတ်ဖြာမှု (အချို့သော ဘေးကင်းသောပတ်ဝန်းကျင်တွင် ပရိုဂရမ်တစ်ခုလုပ်ဆောင်ခြင်းနှင့် ၎င်း၏လုပ်ဆောင်ချက်များကို စောင့်ကြည့်ခြင်း) နှင့် ပြောင်းပြန်အင်ဂျင်နီယာများလည်း ရှိပါသည်။

Признаков злонамеренного процесса может быть масса. В этой статье мы расскажем как включить аудит соответствующих событий в Windows, разберём признаки, на которые опирается встроенное правило ယုံကြည်မှု သံသယဖြစ်ဖွယ်ဖြစ်စဉ်ကို ဖော်ထုတ်ရန်။ ယုံကြည်မှုဆိုတာ CLM ပလပ်ဖောင်း တိုက်ခိုက်မှုအမျိုးအစား အမျိုးမျိုးအတွက် ကြိုတင်သတ်မှတ်ထားသော တုံ့ပြန်မှုများ ရာနှင့်ချီရှိထားပြီးဖြစ်သည့် ဖွဲ့စည်းပုံမထားသော အချက်အလက်များကို စုဆောင်း၊ ခွဲခြမ်းစိတ်ဖြာခြင်းနှင့် သိမ်းဆည်းခြင်းအတွက်။

ပရိုဂရမ်ကိုစတင်သောအခါ၊ ၎င်းကိုကွန်ပျူတာ၏မှတ်ဉာဏ်ထဲသို့ထည့်သွင်းသည်။ executable file တွင် ကွန်ပျူတာ ညွှန်ကြားချက်များနှင့် ပံ့ပိုးပေးသည့် စာကြည့်တိုက်များ ပါ၀င်သည် (ဥပမာ၊ *.dll)။ လုပ်ငန်းစဉ်တစ်ခု လုပ်ဆောင်နေချိန်တွင်၊ ၎င်းသည် အပိုတွဲများကို ဖန်တီးနိုင်သည်။ Threads များသည် မတူညီသော ညွှန်ကြားချက်အစုံများကို တစ်ပြိုင်နက် လုပ်ဆောင်ရန် လုပ်ငန်းစဉ်ကို ခွင့်ပြုသည်။ အန္တရာယ်ရှိသောကုဒ်သည် မှတ်ဉာဏ်ကို ထိုးဖောက်ဝင်ရောက်ရန်နှင့် လုပ်ဆောင်ရန် နည်းလမ်းများစွာ ရှိသည်၊ ၎င်းတို့ထဲမှ အချို့ကို ကြည့်ကြပါစို့။

အန္တရာယ်ရှိသော လုပ်ငန်းစဉ်ကို စတင်ရန် အလွယ်ကူဆုံးနည်းလမ်းမှာ သုံးစွဲသူအား ၎င်းကို တိုက်ရိုက်ဖွင့်ရန် (ဥပမာ၊ အီးမေးလ် ပူးတွဲပါဖိုင်တစ်ခုမှ) အား တွန်းအားပေးရန်နှင့် ကွန်ပြူတာဖွင့်တိုင်း ဖွင့်တိုင်း RunOnce ကီးကို အသုံးပြုပါ။ ၎င်းတွင် အစပျိုးမှုအပေါ် အခြေခံ၍ လုပ်ဆောင်သည့် registry keys များတွင် PowerShell script များကို သိမ်းဆည်းသည့် “fileless” malware လည်း ပါဝင်ပါသည်။ ဤကိစ္စတွင်၊ PowerShell script သည် အန္တရာယ်ရှိသောကုဒ်ဖြစ်သည်။

ပြတ်သားစွာ လုပ်ဆောင်နေသည့် Malware ၏ ပြဿနာမှာ ၎င်းသည် အလွယ်တကူ သိရှိနိုင်သော ချဉ်းကပ်မှုတစ်ခုဖြစ်သည်။ အချို့သော Malware များသည် Memory တွင် စတင်လုပ်ဆောင်ရန် အခြားလုပ်ငန်းစဉ်ကို အသုံးပြုခြင်းကဲ့သို့သော ထက်မြက်သည့်အရာများကို လုပ်ဆောင်သည်။ ထို့ကြောင့်၊ လုပ်ငန်းစဉ်တစ်ခုသည် တိကျသောကွန်ပြူတာညွှန်ကြားချက်တစ်ခုကို run ရန်နှင့် run ရန် executable file (.exe) ကို သတ်မှတ်ခြင်းဖြင့် အခြားလုပ်ငန်းစဉ်တစ်ခုကို ဖန်တီးနိုင်သည်။

Файл можно указать, используя полный путь (например, C:Windowssystem32cmd.exe) или неполный (например, cmd.exe). Если исходный процесс небезопасен, он позволит запускать нелегитимные программы. Атака может выглядеть так: процесс запускает cmd.exe без указания полного пути, злоумышленник помещает свой cmd.exe в такое место, чтобы процесс запустил его раньше легитимного. После запуска вредоносной программы она, в свою очередь, может запустить легитимную программу (например, C:Windowssystem32cmd.exe), чтобы исходная программа продолжала работать должным образом.

ယခင်တိုက်ခိုက်မှု၏ ပြောင်းလဲမှုသည် တရားဝင်သောလုပ်ငန်းစဉ်အဖြစ် DLL ထိုးခြင်းဖြစ်ပါသည်။ လုပ်ငန်းစဉ်တစ်ခုစတင်သောအခါ၊ ၎င်းသည် ၎င်း၏လုပ်ဆောင်နိုင်စွမ်းကို တိုးချဲ့ထားသည့် စာကြည့်တိုက်များကို ရှာဖွေပြီး တင်ပါသည်။ DLL ထိုးဆေးကို အသုံးပြု၍ တိုက်ခိုက်သူသည် တရားဝင်တစ်ခုအဖြစ် အမည်နှင့် API တူညီသော အန္တရာယ်ရှိသောစာကြည့်တိုက်တစ်ခုကို ဖန်တီးသည်။ ပရိုဂရမ်သည် အန္တရာယ်ရှိသော ဒစ်ဂျစ်တိုက်တစ်ခုအား တင်စေပြီး၊ ၎င်းသည် တရားဝင်သောဖိုင်တစ်ခုအား တင်ကာ လိုအပ်သလို လုပ်ဆောင်ချက်များကို လုပ်ဆောင်ရန် ၎င်းကို ခေါ်သည်။ အန္တရာယ်ရှိသောစာကြည့်တိုက်သည် ကောင်းမွန်သောစာကြည့်တိုက်အတွက် ပရောက်စီတစ်ခုအဖြစ် စတင်လုပ်ဆောင်သည်။

အန္တရာယ်ရှိသောကုဒ်ကို မှတ်ဉာဏ်ထဲသို့ ထည့်ရန် အခြားနည်းလမ်းမှာ ၎င်းကို လုပ်ဆောင်နေပြီး မလုံခြုံသော လုပ်ငန်းစဉ်တစ်ခုတွင် ထည့်သွင်းရန်ဖြစ်သည်။ လုပ်ငန်းစဉ်များသည် ရင်းမြစ်အမျိုးမျိုးမှ ထည့်သွင်းမှုကို လက်ခံရရှိသည် - ကွန်ရက် သို့မဟုတ် ဖိုင်များမှ ဖတ်ရှုခြင်း။ ၎င်းတို့သည် ပုံမှန်အားဖြင့် ထည့်သွင်းမှုအား တရားဝင်ကြောင်း သေချာစေရန် စစ်ဆေးမှုများ ပြုလုပ်ကြသည်။ သို့သော် အချို့သော လုပ်ငန်းစဉ်များသည် ညွှန်ကြားချက်များကို လုပ်ဆောင်သည့်အခါ သင့်လျော်သော အကာအကွယ် မရှိပါ။ ဤတိုက်ခိုက်မှုတွင်၊ အန္တရာယ်ရှိသောကုဒ်ပါရှိသော ဒစ်ခ် သို့မဟုတ် လုပ်ဆောင်နိုင်သော ဖိုင်ပေါ်တွင် စာကြည့်တိုက်မရှိပါ။ လုပ်ငန်းစဉ်ကို အသုံးချပြီး အရာအားလုံးကို memory ထဲတွင် သိမ်းဆည်းထားသည်။

Теперь разберемся методикой включения сбора подобных событий в Windows и с правилом в InTrust, которое реализует защиту от подобных угроз. Для начала, активируем его через консоль управления InTrust.

Правило использует возможности отслеживания процессов ОС Windows. К сожалению, включение сбора таких событий далеко не очевиден. Нужно изменить 3 разных настройки групповой политики:

Computer Configuration > Policies > Windows Settings > Security Settings > Local Policies > Audit Policy > Audit process tracking

Computer Configuration > Policies > Windows Settings > Security Settings > Advanced Audit Policy Configuration > Audit Policies > Detailed Tracking > Audit process creation

ကွန်ပျူတာပုံစံဖွဲ့စည်းမှု > မူဝါဒများ > စီမံခန့်ခွဲရေးပုံစံများ > စနစ် > စာရင်းစစ်လုပ်ငန်းစဉ်ဖန်တီးမှု > လုပ်ငန်းစဉ်ဖန်တီးမှုဖြစ်ရပ်များတွင် အမိန့်ပေးစာလိုင်းထည့်သွင်းပါ

ဖွင့်ပြီးသည်နှင့်၊ InTrust စည်းမျဉ်းများသည် သင့်အား သံသယဖြစ်ဖွယ်အပြုအမူများပြသသည့် ယခင်အမည်မသိခြိမ်းခြောက်မှုများကို ရှာဖွေနိုင်စေမည်ဖြစ်သည်။ ဥပမာအားဖြင့် ခွဲခြားနိုင်သည်။ ဤနေရာတွင် ဖော်ပြထားပါသည်။ Dridex malware HP Bromium ပရောဂျက်ကြောင့်၊ ဤခြိမ်းခြောက်မှု အလုပ်လုပ်ပုံကို ကျွန်ုပ်တို့ သိပါသည်။

၎င်း၏လုပ်ဆောင်ချက်ကွင်းဆက်တွင်၊ Dridex သည် အချိန်ဇယားဆွဲထားသောအလုပ်တစ်ခုကိုဖန်တီးရန် schtasks.exe ကိုအသုံးပြုသည်။ command line မှ ဤ သီးခြား utility ကို အသုံးပြုခြင်းသည် အလွန်သံသယဖြစ်ဖွယ် အပြုအမူဟု ယူဆပါသည်၊ အသုံးပြုသူ ဖိုင်တွဲများဆီသို့ ညွှန်ပြသည့် ဘောင်များ သို့မဟုတ် "net view" သို့မဟုတ် "whoami" commands များနှင့် ဆင်တူသည့် ဘောင်များဖြင့် svchost.exe ကို စတင်ခြင်းသည် ဆင်တူသည်။ ဤသည်မှာ သက်ဆိုင်ရာ အပိုင်းတစ်ပိုင်းဖြစ်သည်။ SIGMA စည်းမျဉ်းများ:

detection:
    selection1:
        CommandLine: '*svchost.exe C:Users\*Desktop\*'
    selection2:
        ParentImage: '*svchost.exe*'
        CommandLine:
            - '*whoami.exe /all'
            - '*net.exe view'
    condition: 1 of them

InTrust တွင်၊ သံသယဖြစ်ဖွယ်အပြုအမူအားလုံးကို စည်းမျဉ်းတစ်ခုတွင် ပါ၀င်သည်၊ အကြောင်းမှာ၊ ဤလုပ်ဆောင်ချက်အများစုသည် သီးခြားခြိမ်းခြောက်မှုတစ်ခုမဟုတ်သော်လည်း၊ ရှုပ်ထွေးသောသံသယဖြစ်ဖွယ်ရှိပြီး 99% သောကိစ္စများတွင် လုံးဝမွန်မြတ်သောရည်ရွယ်ချက်အတွက် အသုံးပြုခြင်းမရှိသောကြောင့်ဖြစ်သည်။ ဤလုပ်ဆောင်ချက်များစာရင်းတွင် ပါဝင်သော်လည်း၊ အကန့်အသတ်မရှိ-

• အသုံးပြုသူ ယာယီဖိုင်တွဲများကဲ့သို့သော ပုံမှန်မဟုတ်သော နေရာများမှ လုပ်ဆောင်နေသည့် လုပ်ငန်းစဉ်များ။
• သံသယဖြစ်ဖွယ် အမွေဆက်ခံမှုဖြင့် လူသိများသော စနစ်လုပ်ငန်းစဉ် - အချို့သော ခြိမ်းခြောက်မှုများသည် စနစ်လုပ်ငန်းစဉ်များ၏ အမည်ကို ဖော်ထုတ်နိုင်ခြင်းမရှိစေရန် ကြိုးပမ်းနိုင်ပါသည်။
• ဒေသန္တရစနစ်အထောက်အထားများ သို့မဟုတ် သံသယဖြစ်ဖွယ်အမွေအနှစ်များကို အသုံးပြုသောအခါတွင် cmd သို့မဟုတ် PsExec ကဲ့သို့သော စီမံခန့်ခွဲရေးကိရိယာများကို သံသယဖြင့် ကွပ်မျက်ခြင်း။
• သံသယဖြစ်ဖွယ် အရိပ်မိတ္တူလုပ်ဆောင်မှုများသည် စနစ်တစ်ခုကို စာဝှက်ခြင်းမပြုမီ ransomware ဗိုင်းရပ်စ်များ၏ ဘုံအပြုအမူတစ်ခုဖြစ်ပြီး ၎င်းတို့သည် အရန်သိမ်းဆည်းမှုများကို သတ်ပစ်သည်-

  - vssadmin.exe မှတဆင့်;
  - WMI မှတဆင့်။

• registry hives တစ်ခုလုံး၏အမှိုက်များကို စာရင်းသွင်းပါ။
• at.exe ကဲ့သို့သော command များကို အသုံးပြု၍ လုပ်ငန်းစဉ်တစ်ခုကို အဝေးမှစတင်သောအခါ အန္တရာယ်ရှိသောကုဒ်များ၏ အလျားလိုက်ရွေ့လျားမှု။
• net.exe ကို အသုံးပြု၍ သံသယဖြစ်ဖွယ် ဒေသတွင်း အုပ်စု လုပ်ဆောင်ချက်များနှင့် ဒိုမိန်း လုပ်ဆောင်ချက်များ။
• netsh.exe ကို အသုံးပြု၍ သံသယဖြစ်ဖွယ် firewall လုပ်ဆောင်ချက်။
• ACL ၏ သံသယဖြစ်ဖွယ် ခြယ်လှယ်မှု။
• ဒေတာထုတ်ယူမှုအတွက် BITS ကိုအသုံးပြုခြင်း။
• WMI ဖြင့် သံသယဖြစ်ဖွယ် ခြယ်လှယ်မှုများ။
• သံသယဖြစ်ဖွယ် ဇာတ်ညွှန်းအမိန့်များ။
• လုံခြုံသော စနစ်ဖိုင်များကို စွန့်ပစ်ရန် ကြိုးပမ်းမှုများ။

ပေါင်းစပ်စည်းမျဉ်းသည် RUYK၊ LockerGoga နှင့် အခြားသော ransomware၊ malware နှင့် ဆိုက်ဘာရာဇ၀တ်မှုဆိုင်ရာ ကိရိယာတန်ဆာပလာများကဲ့သို့သော ခြိမ်းခြောက်မှုများကို ရှာဖွေရန် အလွန်ကောင်းမွန်ပါသည်။ မှားယွင်းသော အပြုသဘောများကို လျှော့ချရန် ထုတ်လုပ်မှုပတ်ဝန်းကျင်တွင် ရောင်းချသူမှ စည်းမျဉ်းကို စမ်းသပ်ထားသည်။ SIGMA ပရောဂျက်ကြောင့်၊ ဤအညွှန်းကိန်းအများစုသည် ဆူညံသံဖြစ်ရပ်များကို အနည်းငယ်မျှသာ ထုတ်ပေးပါသည်။

ဘာဖြစ်လို့လဲဆိုတော့ InTrust တွင် ဤအရာသည် စောင့်ကြည့်ရေးစည်းမျဉ်းတစ်ခုဖြစ်ပြီး၊ သင်သည် ခြိမ်းခြောက်မှုတစ်ခုအား တုံ့ပြန်မှုအဖြစ် တုံ့ပြန်မှု script တစ်ခုကို လုပ်ဆောင်နိုင်သည်။ သင်ထည့်သွင်းထားသော scripts များထဲမှ တစ်ခုကို သုံးနိုင်သည် သို့မဟုတ် သင့်ကိုယ်ပိုင် ဖန်တီးပြီး InTrust သည် ၎င်းကို အလိုအလျောက် ဖြန့်ဝေမည်ဖြစ်သည်။

ထို့အပြင်၊ သင်သည် ဖြစ်ရပ်နှင့်ပတ်သက်သည့် တယ်လီမီတာ အားလုံးကို စစ်ဆေးနိုင်သည်- PowerShell scripts များ၊ လုပ်ငန်းစဉ် execution များ၊ စီစဉ်ထားသော လုပ်ဆောင်စရာများကို ကိုင်တွယ်ဖြေရှင်းမှုများ၊ WMI စီမံခန့်ခွဲရေး လုပ်ဆောင်ချက် နှင့် လုံခြုံရေး ဖြစ်စဉ်များအတွင်း ၎င်းတို့ကို အသေခံသေတ္တာများအတွက် အသုံးပြုနိုင်သည်။

InTrust တွင် ရာနှင့်ချီသော အခြားစည်းမျဉ်းများ ရှိပြီး၊ အချို့မှာ-

• PowerShell အဆင့်နှိမ့်ချတိုက်ခိုက်မှုကို တစ်စုံတစ်ယောက်က PowerShell ဗားရှင်းအဟောင်းကို တမင်တကာ တမင်တကာ အသုံးပြုနေသောအခါတွင်... ဗားရှင်းအဟောင်းတွင် ဖြစ်ပျက်နေသည့်အရာကို စစ်ဆေးရန် နည်းလမ်းမရှိပါ။
• အထူးအခွင့်ထူးခံအဖွဲ့တစ်ခု၏ အဖွဲ့ဝင်များ (ဒိုမိန်းစီမံခန့်ခွဲသူများကဲ့သို့) အကောင့်များသည် မတော်တဆ သို့မဟုတ် လုံခြုံရေးဆိုင်ရာ ဖြစ်ရပ်များကြောင့် အလုပ်ရုံများသို့ ဝင်ရောက်သည့်အခါတွင် အထူးအခွင့်အရေးကြီးသော လော့ဂ်အင်ကို သိရှိခြင်းဖြစ်ပါသည်။

InTrust သည် ကြိုတင်သတ်မှတ်ထားသော ထောက်လှမ်းမှုနှင့် တုံ့ပြန်မှုစည်းမျဉ်းများပုံစံဖြင့် အကောင်းဆုံးလုံခြုံရေးအလေ့အကျင့်များကို အသုံးပြုခွင့်ပေးသည်။ တစ်ခုခု ကွဲပြားစွာ အလုပ်လုပ်သင့်သည်ဟု သင်ထင်ပါက၊ သင်သည် စည်းကမ်းချက်၏ ကိုယ်ပိုင်မိတ္တူကို ဖန်တီးပြီး လိုအပ်သလို ပြင်ဆင်သတ်မှတ်နိုင်သည်။ လေယာဉ်မှူးလုပ်ဆောင်ရန် သို့မဟုတ် ယာယီလိုင်စင်ဖြင့် ဖြန့်ဖြူးရေးကိရိယာများ ရယူရန်အတွက် လျှောက်လွှာတင်နိုင်သည်။ တုံ့ပြန်ချက်ပုံစံ ကျွန်တော်တို့ရဲ့ဝက်ဘ်ဆိုက်ပေါ်မှာ။

ကျွန်ုပ်တို့ထံ စာရင်းသွင်းပါ။ Facebook စာမျက်နှာဤနေရာတွင် ကျွန်ုပ်တို့သည် မှတ်စုတိုများနှင့် စိတ်ဝင်စားဖွယ်လင့်ခ်များကို ထုတ်ဝေပါသည်။

သတင်းအချက်အလက်လုံခြုံရေးဆိုင်ရာ ကျွန်ုပ်တို့၏ အခြားဆောင်းပါးများကို ဖတ်ရှုပါ-

InTrust သည် RDP မှတစ်ဆင့် မအောင်မြင်သော ခွင့်ပြုချက်ရယူမှုနှုန်းကို လျှော့ချရန် မည်သို့ကူညီနိုင်မည်နည်း။

ကျွန်ုပ်တို့သည် ransomware တိုက်ခိုက်မှုကို တွေ့ရှိပြီး ဒိုမိန်းထိန်းချုပ်ကိရိယာသို့ ဝင်ရောက်ခွင့်ရရှိပြီး ဤတိုက်ခိုက်မှုများကို တွန်းလှန်ရန် ကြိုးစားပါသည်။

OS-based workstation ရဲ့ log တွေကနေ ဘယ်လိုအသုံးဝင်တဲ့ အချက်အလက်တွေကို ထုတ်ယူနိုင်မလဲ။ Windows (နာမည်ကြီးဆောင်းပါး)

ပလာယာ သို့မဟုတ် ပြွန်တိပ်မပါဘဲ အသုံးပြုသူများ၏ ဘဝသံသရာကို ခြေရာခံခြင်း။

ဘယ်သူလုပ်တာလဲ။ ကျွန်ုပ်တို့သည် အချက်အလက်လုံခြုံရေးစစ်ဆေးမှုများကို အလိုအလျောက်လုပ်ဆောင်ပေးပါသည်။

SIEM စနစ်တစ်ခု၏ ပိုင်ဆိုင်မှုကုန်ကျစရိတ်ကို လျှော့ချနည်းနှင့် Central Log Management (CLM) ကို အဘယ်ကြောင့် လိုအပ်သနည်း။

source: www.habr.com