223
принять действие, состоящее в том, чтобы кто-то позвонил вам с целью еще
раз проверить, действительно ли вы осуществляете эту транзакцию. Обратите
внимание, что в этом сценарии вы действуете быстро на ранней стадии, по-
тому что компания – эмитент кредитных карт приостановила эту транзакцию
до получения подтверждения.
То же самое происходит, когда у вас есть система UEBA внутри организации.
Система знает, к каким серверам обычно обращаются ваши пользователи, ка-
кие ресурсы посещают, какую операционную систему используют для доступа
к этим ресурсам, а также ей известно географическое местоположение поль-
зователя. На рис. 11.7 показан пример этого типа обнаружения, полученного
от
Advanced Threat Analytics (ATA) компании Microsoft, которая использует
поведенческую аналитику для обнаружения подозрительного поведения.
Рис. 11.7
Обратите внимание, что в этом случае сообщение довольно четкое. В нем
говорится, что
администратор не выполнял эти действия в прошлом месяце,
они не коррелируют с другими учетными записями в организации. Это преду-
преждение нельзя игнорировать, потому что оно контекстуализировано, а это
означает, что оно смотрит на данные, собранные под разными углами, чтобы
выполнить сопоставление и принять решение о том, нужно выдавать опове-
щение или нет.
224 Активные сенсоры
Система UEBA внутри организации может помочь Синей команде проявить
большую активность и получить более осязаемые данные для точного реагиро-
вания. Система UEBA состоит из нескольких модулей, и еще один модуль – это
расширенное обнаружение угроз, которое ищет известные уязвимости и шаб-
лоны атак. На рис. 11.8 показано, как Microsoft ATA обнаруживает атаку Pass-
the-ticket.
Рис. 11.8
Поскольку существуют разные способы выполнения этой атаки, расширен-
ное обнаружение угроз не может искать только сигнатуру. Оно должно искать
схему атаки и то, что пытается сделать злоумышленник. Это намного эффек-
тивнее, чем использовать систему на базе сигнатур. Оно также ищет подозри-
тельное поведение, исходящее от обычных пользователей, которые не должны
выполнять определенные задачи. Например, если обычный пользователь пы-
тается запустить NetSess.exe в локальном домене, Microsoft ATA рассматривает
это как перебор SMB-сессий, что, с точки зрения злоумышленника, как прави-
ло, осуществляется на этапе разведки. По этой причине выдается предупреж-
дение, как показано на рис. 11.9.
Поведенческая аналитика внутри организации
Do'stlaringiz bilan baham: |