Интернетмагазин



Download 18,66 Mb.
Pdf ko'rish
bet192/272
Sana25.02.2022
Hajmi18,66 Mb.
#290514
1   ...   188   189   190   191   192   193   194   195   ...   272
Bog'liq
Диогенес Ю., Озкайя Э. - Кибербезопасность. Стратегии атак и обороны - 2020

 
223
принять действие, состоящее в том, чтобы кто-то позвонил вам с целью еще 
раз проверить, действительно ли вы осуществляете эту транзакцию. Обратите 
внимание, что в этом сценарии вы действуете быстро на ранней стадии, по-
тому что компания – эмитент кредитных карт приостановила эту транзакцию 
до получения подтверждения.
То же самое происходит, когда у вас есть система UEBA внутри организации. 
Система знает, к каким серверам обычно обращаются ваши пользователи, ка-
кие ресурсы посещают, какую операционную систему используют для доступа 
к этим ресурсам, а также ей известно географическое местоположение поль-
зователя. На рис. 11.7 показан пример этого типа обнаружения, полученного 
от 
Advanced Threat Analytics (ATA) компании Microsoft, которая использует 
поведенческую аналитику для обнаружения подозрительного поведения.
Рис. 11.7
Обратите внимание, что в этом случае сообщение довольно четкое. В нем 
говорится, что 
администратор не выполнял эти действия в прошлом месяце, 
они не коррелируют с другими учетными записями в организации. Это преду-
преждение нельзя игнорировать, потому что оно контекстуализировано, а это 
означает, что оно смотрит на данные, собранные под разными углами, чтобы 
выполнить сопоставление и принять решение о том, нужно выдавать опове-
щение или нет.

224  Активные сенсоры 
Система UEBA внутри организации может помочь Синей команде проявить 
большую активность и получить более осязаемые данные для точного реагиро-
вания. Система UEBA состоит из нескольких модулей, и еще один модуль – это 
расширенное обнаружение угроз, которое ищет известные уязвимости и шаб-
лоны атак. На рис. 11.8 показано, как Microsoft ATA обнаруживает атаку Pass-
the-ticket.
Рис. 11.8
Поскольку существуют разные способы выполнения этой атаки, расширен-
ное обнаружение угроз не может искать только сигнатуру. Оно должно искать 
схему атаки и то, что пытается сделать злоумышленник. Это намного эффек-
тивнее, чем использовать систему на базе сигнатур. Оно также ищет подозри-
тельное поведение, исходящее от обычных пользователей, которые не должны 
выполнять определенные задачи. Например, если обычный пользователь пы-
тается запустить NetSess.exe в локальном домене, Microsoft ATA рассматривает 
это как перебор SMB-сессий, что, с точки зрения злоумышленника, как прави-
ло, осуществляется на этапе разведки. По этой причине выдается предупреж-
дение, как показано на рис. 11.9.

Поведенческая аналитика внутри организации 

Download 18,66 Mb.

Do'stlaringiz bilan baham:
1   ...   188   189   190   191   192   193   194   195   ...   272



Ma'lumotlar bazasi mualliflik huquqi bilan himoyalangan ©hozir.org 2024
ma'muriyatiga murojaat qiling
kiriting | ro'yxatdan o'tish
    Bosh sahifa
юртда тантана
Боғда битган
Бугун юртда
Эшитганлар жилманглар
Эшитмадим деманглар
битган бодомлар
Yangiariq tumani
qitish marakazi
Raqamli texnologiyalar
ilishida muhokamadan
tasdiqqa tavsiya
tavsiya etilgan
iqtisodiyot kafedrasi
steiermarkischen landesregierung
asarlaringizni yuboring
o'zingizning asarlaringizni
Iltimos faqat
faqat o'zingizning
steierm rkischen
landesregierung fachabteilung
rkischen landesregierung
hamshira loyihasi
loyihasi mavsum
faolyatining oqibatlari
asosiy adabiyotlar
fakulteti ahborot
ahborot havfsizligi
havfsizligi kafedrasi
fanidan bo’yicha
fakulteti iqtisodiyot
boshqaruv fakulteti
chiqarishda boshqaruv
ishlab chiqarishda
iqtisodiyot fakultet
multiservis tarmoqlari
fanidan asosiy
Uzbek fanidan
mavzulari potok
asosidagi multiservis
'aliyyil a'ziym
billahil 'aliyyil
illaa billahil
quvvata illaa
falah' deganida
Kompyuter savodxonligi
bo’yicha mustaqil
'alal falah'
Hayya 'alal
'alas soloh
Hayya 'alas
mavsum boyicha

yuklab olish