在不同类型的网络攻击中,内部威胁最难被察觉,而且难以提防。绝大多数内部安全事件都是由于合法凭证滥用以及访问权限分配不当造成的。
传统的SIEM解决方案,是使用基于规则的警报来检测潜在的内部威胁,无法分析用户行为是否正常或检测其中的任何异常。因此,当员工处理敏感数据时,很难知道他们是在做正常的工作,还是在发起恶意攻击。
SIEM解决方案
想象一下,如果员工小A对企业抱有成见,他想窃取企业重要的信息。该员工可能会尝试登录同事的计算机,以隐藏其踪迹。
同事在某天回家后,员工小A尝试使用几个成功几率大的密码登录,仅仅失败了几次就登录成功。在这种情况下,这个过程较难触发登录失败告警,而ADAudit Plus的UBA模块可以及时检测到这种异常的登陆活动并发出告警。
ADAudit Plus
如果没有UBA解决方案,由于登录失败的次数很少,这些类违规行为便很难被注意到。
下面我们来看下如何使用ADAudit Plus跟踪异常的登录活动:
- 登录到ADAudit Plus。
- 单击分析,然后选择“异常登录活动”。
这样就可以查看用户规定时间以外的登录报表了。
UBA解决方案
即使有了这些登录活动的报表,但是大多数管理员并没有时间查看报表,那告警就派上了用场。UBA的默认告警是通过电子邮发送通知,您也可以配置告警,将其设置为短信通知或执行脚本。
配置告警设置:
- 点击配置;
- 选择告警配置文件;
- 查看/编辑告警配置文件,然后选择所需的配置文件。
- 单击配置修改告警配置文件,您可以选择通过电子邮件、短信、执行脚本或同时通过这三种方式来接收通知。
- 点击更新。
这些配置完后,管理员将开始收到有关异常登录活动的告警。
UBA模块
ADAudit Plus的UBA模块会警告管理员有关用户的异常登录活动,分析模块会根据用户过去的行为以计算出他们正常的活动时间范围。对于在正常登录时间范围之外的登录成功事件,会立即触发异常登录告警并将通知管理员。
卓豪(中国)技术有限公司
ADAudit Plus由卓豪公司推出,卓豪(中国)技术有限公司成立于1996年,专注于IT运维产品开发已有25年。25年来一直秉承着以技术开发为核心,以解决用户需求为目标的企业理念稳步前行。通过在技术上的不断深挖,资金上的不断投入,用户需求上不断研究,目前卓豪ManageEngine已有多款IT运维产品被全球企业所青睐。更在此过程中积累了宝贵的发展经验,在IT运维领域具有相当的实力。因此其旗下的各类运维产品质量更具保障,企业利用他们完全可以实现IT自动化运维,对推动企业健康良性发展具有积极意义。