 Активные сенсоры  Рис. 11.12

Поведенческая аналитика в гибридном облаке 
 
229
Рис. 11.13
В нижней части этой страницы видны все три атаки (в порядке их возник-
новения) на ВМ1 и уровень серьезности, назначенный Центром безопасности. 
Приведем одно важное наблюдение относительно преимущества использо-
вания поведенческой аналитики для обнаружения угроз. Речь идет о третьем 
по счету оповещении 
Multiple Domain Accounts Queried (Запрос нескольких 
учетных записей домена). Команда, которая была выполнена, чтобы выдать 
это оповещение: net user /domain. Однако, чтобы принять решение 
о том, что это выглядит подозрительно, необходимо посмотреть на нормаль-
ное поведение пользователя, который выполнил эту команду, и сопоставить 

230  Активные сенсоры 
эту информацию с другими данными, которые при анализе в контексте будут 
отнесены к категории подозрительных. Как видно из этого примера, хаке-
ры используют встроенные системные инструменты и нативный интерфейс 
команд ной строки для выполнения своей атаки. По этой причине крайне важ-
но иметь в наличии инструмент логирования вызовов из командной строки.
Центр безопасности также будет использовать статистическое профилиро-
вание для построения традиционных базовых показателей и оповещения об 
отклонениях, которые соответствуют потенциальному вектору атаки. Это по-
лезно во многих сценариях. Типичный пример – отклонения от нормальной 
деятельности. Например, предположим, что хост запускает подключения по 
RDP 3 раза в день, но в определенный день предпринимается сотня попыток. 
Когда такое отклонение происходит, должно быть выдано оповещение, чтобы 
предупредить вас об этом.
Еще одним важным аспектом работы с облачным сервисом является встро-
енная интеграция с другими поставщиками. Центр безопасности может ин-
тегрироваться со многими другими решениями, такими как Barracuda, F5, 
Imperva и Fortinet для 

Download 18,66 Mb.

Do'stlaringiz bilan baham: